docKaspersky Security Bulletin 2011/2012
download 
Report Transcription
Kaspersky Security Bulletin 2011/2012
Kaspersky Security Bulletin Kaspersky Security Bulletin 2 0 1 1 / 2 0 1 2 2011/2012 Teil 1: Entwicklung der IT-Bedrohungen Teil 1: Teil 2: Entwicklung der IT-Bedrohungen Malware-Statistik Teil 2: Teil 3: Statistik Spam Teil 3: Spam w wwww. kwa .s pk ea r ss kp y.e dr es k y . d e 2 3 Kaspersky Security Bulletin 2010/2011 Teil 1: Entwicklung der IT-Bedrohungen im Jahr 2011 und Ausblick auf das Jahr 2012...........4 Die Top 10 im Jahr 2011: Ein ‚explosives’ Jahr in Sachen Sicherheit................................... 4 Ansteigender „Hacktivismus“........................................................ 4 Der HBGary-Federal-Hack............................................................. 4 Der Advanced Persistent Threat................................................... 4 Die Comodo- und DigiNotar-Vorfälle............................................. 4 Duqu............................................................................................... 5 Der Hack des Sony PlayStation Network...................................... 5 Der Kampf gegen Cyberverbrechen und die Zerschlagung von Botnetzen................................................... 5 Die Zunahme von Android-Malware.............................................. 6 Der CarrierIQ-Vorfall....................................................................... 6 MacOS-Malware............................................................................. 6 Fazit................................................................................................. 7 Cyberwaffen.................................................................................... 7 Massenhaft zielgerichtete Attacken............................................. 7 Android............................................................................................ 8 Zunahme der Zahl von Attacken unter Ausnutzung von Sicherheitslücken............................................... 8 Zunahme von Schadprogrammen in offiziellen App-Shops, in erster Linie im Android Market............. 8 Symbian.......................................................................................... 8 J2ME............................................................................................... 8 Windows Mobile............................................................................. 8 Windows Phone 7.......................................................................... 8 iOS................................................................................................... 8 Mobile Spionage............................................................................ 9 Attacken auf Online-Banking-Dienste........................................... 9 Das Privatleben der Anwender...................................................... 9 Hacktivismus.................................................................................. 9 Teil 2: Statistik für das Jahr 2011..........................10 Über die Statistiken..................................................................... 10 Schadprogramme im Internet (Attacken über das Web)........... 10 Top 20 der Schadprogramme im Internet.................................. 10 Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind............ 11 Wo schädliche Links platziert sind.............................................12 Von Cyberkriminellen ausgenutzte angreifbare Anwendungen..........................................................12 Lokale Infizierungen..................................................................... 13 Top 20 der auf den Computern der Anwender entdeckten schädlichen Objekte................................................ 13 „Die Weltkarte“............................................................................. 14 Web-Bedrohungen....................................................................... 14 Gruppe mit erhöhtem Risiko....................................................... 15 Risikogruppe................................................................................. 15 Gruppe der beim Surfen im Internet sichersten Länder (0 - 20%)........................................................ 15 Lokale Bedrohungen.................................................................... 15 Maximales Infektionsniveau (über 75 %)................................... 16 Hohes Infektionsniveau (56 - 75 %)........................................... 16 Mittleres Infektionsrisiko (35 - 55 %)......................................... 16 Geringstes Infektionsrisiko (0 - 35 %)......................................... 16 Länder mit minimalen Computer-Infizierungsraten................... 16 Netzattacken................................................................................ 16 Top 20 der Netzattacken............................................................. 16 Teil 3: Spam im Jahr 2011.....................................18 Die Zahlen des Jahres................................................................. 18 Trends 2011................................................................................. 18 Zielgerichtete Phishing-Attacken................................................. 18 Das Jahr des schädlichen Spams............................................... 19 Schädlicher Spam und Social Engineering................................ 19 Tarnung als seriöse Quelle..........................................................20 Angst verbreiten...........................................................................20 Verlockende Angebote.................................................................20 Andere Methoden........................................................................20 Die Geschichte einer Versendung: Wie funktioniert das?.................................................................. 21 Methoden und Tricks der Spammer........................................... 21 Infizierte Webseiten.....................................................................23 SQL-Injection.................................................................................23 Wie man den Anwender dazu bringt, auf einen Link zu klicken oder einen Anhang zu öffnen............................23 Betrug mit Spam.......................................................................... 24 Spam-Statistik..............................................................................26 Spam-Herkunftsregionen............................................................26 Spam-Herkunftsländer................................................................ 27 Größen der Spam-Mitteilungen................................................... 27 Spam-Themen.............................................................................. 27 Spam und Politik..........................................................................28 Phishing........................................................................................29 Schädliche Anhänge und Links...................................................29 Verteilung der Viren-Alarme nach Ländern................................30 Fazit............................................................................................... 31 4 TEIL 1 Kaspersky Security Bulletin 2011/2012 Entwicklung der IT-Bedrohungen im Jahr 2011 und Ausblick auf das Jahr 2012 Costin Raiu · Alexander Gostev Die Top 10 im Jahr 2011: Ein ‚explosives’ Jahr in Sachen Sicherheit Müssten wir das Jahr in einem einzigen Wort zusammenfassen, so könnte man das Wort „explosiv“ wählen. Die Vielzahl der Vorfälle, Geschichten, Fakten, neuen Trends und überraschenden Akteuren ist so groß, dass die Erstellung einer Top-10-Liste mit Sicherheits-Stories aus dem Jahr 2011 eine kaum zu bewältigende Herausforderung darstellt. Das Ziel dieser Auflistung besteht eher darin, diejenigen Ereignisse ins Gedächtnis zu rufen, die auf die wichtigsten Trends oder das Aufkommen neuer Hauptakteure auf der Sicherheitsszene hingedeutet haben. Die Analyse dieser Ereignisse liefert uns eine Vorstellung darüber, was uns 2012 erwartet. 1. Ansteigender „Hacktivismus“ Fast jeder hat schon einmal von Anonymous, LulzSec und vielleicht auch von TeaMp0isoN gehört. 2011 waren diese Gruppierungen gemeinsam mit anderen aktiv an diversen Operationen gegen Strafverfolgungsbehörden, Banken, Regierungen, Sicherheitsfirmen und große Softwareentwicklungsunternehmen beteiligt. Manchmal gemeinsam, in anderen Fällen gegeneinander arbeitend, traten diese Gruppen durch Vorfälle wie den Einbruch in die Netze der UNO, des Sicherheitsüberwachungsunternehmens Stratfor, des Subunternehmers des FBI IRC Federal, des US-Verteidigungsunternehmens ManTech und der CIA in Erscheinung. Interessanterweise offenbarten ein paar dieser Vorfälle wie der Stratfor-Hack schwerwiegende Sicherheitsprobleme, darunter die Speicherung von CVV-Nummern in unverschlüsseltem Format oder die Verwendung extrem schwacher Kennwörter durch Administratoren. Insgesamt ist der Anstieg des Hacktivismus einer der bedeutendsten Trends 2011 und wird sich zweifellos auch 2012 mit ähnlichen Vorfällen fortsetzen. 2. Der HBGary-Federal-Hack Obwohl eng mit dem ersten Punkt verknüpft, soll dieser Hacker-Einbruch als eigene Geschichte behandelt werden. Im Januar 2011 brachen Hacker von Anonymous über einen SQL-Injection-Angriff in den Webserver von HBGary Federal ein (hbgaryfederal.com). Es gelang ihnen, mehrere MD5-Hashes für Kennwörter zu extrahieren, die dem CEO des Unternehmens, Aaron Barr, sowie dem COO, Ted Vera, gehörten. Leider waren die von beiden verwendeten Kennwörter äußerst simpel aufgebaut: sechs Kleinbuchstaben und zwei Ziffern. Mit Hilfe dieser Passwörter verschafften sich die Angreifer Zugriff auf unternehmenseigene Forschungsdokumente und auf zehntausende, auf Google Apps gespeicherte Mails. Wir denken, dass diese Geschichte von Bedeutung ist, da sie eine interessante Situation demonstriert, nämlich wie sich die Verwendung schwacher Kennwörter in Verbindung mit veralteten Softwaresystemen plus der Nutzung der Cloud in einen Sicherheits-Albtraum verwandeln kann. Hätten der CEO und der COO starke Passwörter benutzt, wäre wahrscheinlich nichts von alldem eingetreten. Hätten sie die Multi-Faktor-Authentifizierung auf Google Apps aktiviert, wären die Angreifer nicht in der Lage gewesen, auf den Superuser-Account zuzugreifen und die ganzen Unternehmensmails zu kopieren. Hierbei ist es wichtig zu erwähnen, dass selbst im Falle von vorhandenen besseren Sicherheitsmaßnahmen die Möglichkeit nicht gänzlich ausgeschlossen werden kann, dass extrem hartnäckige Hacker nicht doch einen anderen Weg in die Server gefunden hätten. Dank ihrer Beharrlichkeit und Entschlossenheit in Kombination mit unendlich viel Zeit sitzen die Angreifer oft am längeren Hebel. 3. Der Advanced Persistent Threat Auch wenn dieser Begriff bei vielen Sicherheitsexperten verpönt ist, hat er seinen Weg in die Medien gefunden und hat durch Vorfälle wie den Einbruch bei dem SicherheitsHersteller RSA oder die eindrucksvollen Geschichten um die Operationen NightDragon, Lurif und Shady Rat eine extrem hohe Popularität erlangt. Der interessante Punkt hierbei ist, dass viele dieser Aktionen keineswegs besonders ausgefeilt waren. Andererseits gab es zahlreiche Fälle, bei denen Zero-Day-Exploits verwendet wurden wie beispielsweise bei dem RSA-Einbruch. Hier nutzten die Angreifer die Schwachstelle CVE-2011-0609 im Adobe Flash Player aus, um bösartigen Code auf dem Zielcomputer auszuführen. Eine weitere Zero-Day-Lücke war CVE2011-2462, ein Sicherheitsleck im Adobe Reader, das für gezielte Angriffe auf das US-Sicherheitsunternehmen ManTech ausgenutzt wurde. Bei diesen Attacken sind mehrere Punkte bemerkenswert: In vielen Fällen spielten Zero-Day-Schwachstellen in Adobe-Software eine Rolle. Zahlreiche dieser Angriffe richteten sich gegen Ziele in den USA, insbesondere gegen Firmen, die mit dem US-Militär oder der US-Regierung zusammenarbeiten. Das Interessante an der Lurid-Attacke lag darin, dass sie vorwiegend gegen Länder in Osteuropa wie Russland oder die GUS-Staaten gerichtet war. Diese Angriffe bestätigen das Aufkommen schlagkräftiger nationalstaatlicher Akteure und die Etablierung von Cyberspionage als gängige Praxis. Zusätzlich schienen viele dieser Angriffe miteinander verknüpft zu sein und wiesen bedeutende globale Verzweigungen auf. Der RSA-Einbruch beispielsweise fiel dadurch auf, dass die Angreifer die Datenbank der SecurID-Tokens gestohlen hatten, die später bei einem anderen hochrangigen Angriff verwendet wurde. 4. Die Comodo- und DigiNotar-Vorfälle Am 15. März 2011 wurde eine Tochterfirma von Comodo gehackt, ein im Bereich von Sicherheitssoftware und digitalen SSL-Zertifikaten tätiges Unternehmen. Mit großer Schnelligkeit nutzten die Angreifer die vorhandene Infra- 5 struktur des Unternehmens aus, um neun gefälschte digitale Zertifikate für Webseiten wie mail.google.com, login. yahoo.com, addons.mozilla.com und login.skype.com zu generieren. Während der Analyse des Vorfalls gelang es Comodo, den Angreifer als von der IP-Adresse 212.95.136.18 in Teheran aus operierend zu identifizieren. Was jedoch seine Größenordnung betrifft, so war dieser Vorfall eine Bagatelle verglichen mit dem Einbruch bei DigiNotar. Am 17. Juni 2001 hatten Hacker damit begonnen, in den DigiNotar-Servern herumzustöbern und schafften es in den darauffolgenden fünf Tagen, Zugang zu ihrer Infrastruktur zu erhalten und über 300 falsche Zertifikate zu erzeugen. Der Hacker hinterließ eine Nachricht in Form eines digitalen Zertifikats in persischer Sprache: „Großartiger Hacker, ich werde jede Verschlüsselung knacken, I break your head!“. Weitere stichhaltige Beweise für die Verbindung zum Iran lieferte einige Tage später ein Manin-the-Middle-Angriff auf mehr als 100.000 Gmail-Nutzer aus dem Iran, bei dem die gefälschten Zertifikate verwendet wurden. Die Angriffe auf Comodo und DigiNotar zeigen, dass bereits ein Vertrauensverlust in die Zertifizierungsstellen (CA) stattgefunden hat. In Zukunft wird eine Kompromittierung von CAs noch häufiger zu beobachten sein. Zudem ist es sehr wahrscheinlich, dass immer mehr digital signierte Malware in Umlauf sein wird. 5. Duqu Im Juni 2010 stieß der Sicherheitsforscher Sergey Ulasen vom weißrussischen Unternehmen VirusBlokada auf ein erstaunliches Schadprogramm, das anscheinend gestohlene Zertifikate nutzte, um seine Treiber zu signieren, sowie ein Zero-Day-Exploit, das .Ink-Dateien zur Replizierung in einer typischen Autorun-Manier verwendete. Diese Malware erlangte weltweite Berühmtheit unter dem Namen Stuxnet, ein Computerwurm, der eine spezielle, direkt gegen das iranische Atomprogramm gerichtete Payload enthielt. Stuxnet kaperte die Siemens-SPSs bei der iranischen Atomanlage Natans und programmierte sie in sehr spezieller Weise um, was ein einziges Ziel verfolgte: die Sabotage des Urananreicherungsprozesses in Natans. Als wir damals den Code sahen, mit dem die für die Steuerung der Zentrifugen mit einer Drehzahl von 64.000 verantwortlichen SPSs umprogrammiert worden waren, dachten wir, dass es unmöglich sei, etwas derartiges zu schreiben, ohne Zugang zu den Originalschaltplänen und dem Quellcode zu haben. Aber wie konnten die Angreifer an etwas so sensibles wie den Custom Code gelangen, der diese milliardenschwere Anlage steuert? Eine mögliche Antwort ist der Trojaner Duqu. Der von denselben Leuten, die sich für Stuxnet verantwortlich zeichneten, entwickelte Schadcode wurde im August 2011 von dem ungarischen Forschungslabor CrySyS entdeckt. Zu Beginn war nicht bekannt, auf welche Weise Duqu seine Ziele infizierte. Später wurden dann Microsoft Word-Dokumente identifiziert, die eine als CVE2011-3402 bekannte Schwachstelle als Vehikel für die Einschleusung von Duqu ausnutzten. Hinsichtlich seines Zwecks unterscheidet sich Duqu erheblich von Stuxnet. Bei diesem Trojaner handelt es sich tatsächlich um ein hochentwickeltes Angriffs-Toolkit, das für den Einbruch in ein System genutzt werden kann, wo es anschließend systematisch Daten abgreift. Es lassen sich neue Module hochladen und starten, ohne Spuren im Dateisystem zu hinterlassen. Die hochgradig modulare Architektur zusammen mit der geringen Opferzahl weltweit ließen Duqu jahrelang unentdeckt bleiben. Wir konnten Duqus Aktivitäten bis August 2007 zurückverfolgen. In sämtlichen von uns analysierten Vorfällen verwendeten die Hacker eine Infrastruktur aus gehackten Servern, um die Daten – manchmal hunderte von Megabyte – aus den PCs der Opfer zu entwenden. Duqu und Stuxnet stehen für die modernste Art der Cyberkriegsführung und lassen darauf schließen, dass wir in ein Zeitalter des kalten Cyberkriegs eintreten, in dem sich die Supermächte gegenseitig bekämpfen, ohne durch die Grenzen des realen Kriegs eingeschränkt zu sein. 6. Der Hack des Sony PlayStation Network Am 19. April 2011 entdeckte Sony, dass sein PlayStation Network (PSN) gehackt worden war. Zunächst informierte das Unternehmen die Öffentlichkeit nur sehr zögerlich über die Geschehnisse und ließ verlauten, dass der Dienst, der am 20. April ausgesetzt worden war, ein paar Tage später wieder aktiviert sein würde. Erst am 26. April bestätigte das Unternehmen den Diebstahl von persönlichen Daten, darunter möglicherweise auch Kreditkartennummern. Drei Tage später tauchten Berichte auf, nach denen anscheinend 2,2 Millionen Kreditkartennummern in Hackerforen zum Verkauf angeboten worden waren. Am 1. Mai war das PSN immer noch nicht erreichbar und neben der Tatsache, dass ihre Kreditkartennummern einem Diebstahl zum Opfer gefallen waren, waren viele Nutzer wütend, die von ihnen bezahlten Spiele nicht spielen zu können. Im Oktober 2011 geriet das PSN wieder in die Schlagzeilen, diesmal wegen 93.000 kompromittierter Accounts, die Sony zur Verhinderung eines weiteren Missbrauchs sperren musste. Der Hack des Sony PSN war 2011 eine Riesengeschichte, denn er machte deutlich, dass im Cloud-Zeitalter Persönliche Informationen bequem an einem Ort zugänglich sind, auf den über schnelle Internet-Verbindungen zugegriffen wird und die Daten im Falle einer Fehlkonfiguration oder Sicherheitsproblemen ohne Umschweife gestohlen werden können. Nun war es schließlich soweit, dass 77 Millionen Benutzernamen und 2,2 Millionen Kreditkarten als normale Beute in der Cloud-Ära betrachtet wurden. 7. Der Kampf gegen Cyberverbrechen und die Zerschlagung von Botnetzen Auch wenn die Angreifer im PSN-Vorfall noch nicht ermittelt werden konnten, war 2011 definitiv ein schlechtes Jahr für die vielen Cyberkriminellen, die erwischt und rund um die Welt von den Strafverfolgungsbehörden festgenommen wurden. Als Beispiele seien nur die Festnahme der ZeuS-Gang, die Zerschlagung der DNSChanger-Bande und die Stilllegung der Rustock-, Coreflood- und Kelihos/ Hilux-Botnetze genannt. Diese Beispiele illustrieren einen sich immer stärker abzeichnenden Trend: Die Zer- 6 schlagung einer Bande von Cyberverbrechern hat weitreichende Folgen für weltweite kriminelle Aktivitäten und sendet ein starkes Signal an die verbleibenden Gangs, dass sie ihren Machenschaften nicht länger ohne Risiko nachgehen können. Ein besonderer Fall, auf den wir an dieser Stelle näher eingehen möchten, ist die Zerschlagung des Kelihos-Botnetzes, die Kaspersky Lab in enger Zusammenarbeit mit der Microsoft Digital Crimes Unit durchgeführt hat. Kaspersky Lab startete für das Botnetz eine Sinkholing-Operation, wobei täglich viele zehntausend infizierte Computer gezählt wurden. Genau an diesem Punkt beginnt die große Diskussion: Da wir die Abläufe des Update-Prozesses des Botnetzes kennen, könnte Kaspersky Lab beziehungsweise eine Strafverfolgungsbehörde allen betroffenen Nutzern ein eigenes Update bereitstellen und sie darüber im Laufe des Prozesses informieren oder sogar eine automatische Reinigung ihrer Rechner vornehmen. In einer auf unserer Securelist-Seite durchgeführten Umfrage sprach sich eine überwältigende Mehrheit von 83 Prozent der Befragten dafür aus, dass Kaspersky Lab ein „Säuberungstool, das die Infektionen entfernt“ forcieren soll, obwohl eine derartige Vorgehensweise in den meisten Ländern illegal wäre. Aus naheliegenden Gründen haben wir dies nicht getan, aber die Geschichte zeigt die weiten Grenzen der heutigen Rechtssysteme auf, wenn es darum geht, Cyberkriminalität wirksam zu bekämpfen. 8. Die Zunahme von Android-Malware Im August 2010 identifizierten wir den ersten Trojaner für die Android-Plattform mit der Bezeichnung Trojan-SMS. AndroidOS.FakePlayer.a, der sich als Media Player App tarnte. In weniger als einem Jahr nahm die Anzahl der Android-Malware explosionsartig zu und wurde zur am meisten verbreiteten mobilen Malware. Im dritten Quartal 2011 wurde dieser Trend offenkundig, als wir über 40 Prozent der gesamten mobilen Malware entdeckten, die wir 2011 überhaupt feststellten. Schließlich erreichten wir im November 2011 mit der Entdeckung von mehr als 1.000 schädlichen Samples die kritische Masse – diese Zahl entspricht fast der gesamten Menge an mobiler Malware, die wir in den vergangenen sechs Jahren entdeckt hatten! Die gewaltige Popularität von Malware für Android lässt sich auf mehrere Faktoren zurückführen, wobei das Wachstum von Android selbst besonders hervorzuheben ist. Zweitens macht die frei und kostenlos erhältliche Dokumentation über die Android-Plattform die Entwicklung von Schadcode für Android ziemlich einfach. Drittens kritisieren viele den Android Market wegen seines schwachen Kontrollverfahrens, das es für Cyberkriminelle zu einem Kinderspiel macht, schädliche Programme hochzuladen. Während für das iPhone nur zwei bekannte Schadprogramme existieren, kommen wir in unserer Malware-Kollektion inzwischen auf fast 2.000 Android-Trojaner. 9. Der CarrierIQ-Vorfall CarrierIQ ist eine kleine, 2005 gegründete Firma in Privatbesitz, die ihr Geschäft von Mountain View in Kalifornien aus betreibt. Laut Unternehmenswebseite ist CarrierIQSoftware auf mehr als 140 Millionen Smartphones in aller Welt installiert. Zwar besteht der erklärte Zweck von CarrierIQ darin, „diagnostische“ Daten aus mobilen Terminals zu sammeln, allerdings demonstrierte der Sicherheitsforscher Trevor Eckhart, in welchem Maße die von CarrierIQ abgegriffenen Daten über den erklärten einfachen „diagnostischen“ Zweck hinausgehen – einschließlich solcher Dinge wie Keylogging oder das Beobachten der auf einem mobilen Gerät aufgerufenen Webseiten. CarrierIQ ist in einer typischen Command-and-ControlArchitektur aufgebaut, wo Systemadministratoren die Art der Daten festlegen können, die von den Smartphones gesammelt werden und welche Informationen „nach Hause“ gesendet werden. Da es sich um ein in den USA ansässiges Unternehmen handelt, könnte CarrierIQ verpflichtet werden, US-Vollzugsbehörden einen Großteil der gesammelten Daten offenzulegen, sofern eine richterliche Anordnung vorliegt. Diese Gesetzeslage bewirkt, dass das Programm prinzipiell als staatseigenes Spionage- und Überwachungstool eingesetzt werden könnte. Unabhängig davon, ob dies wirklich der Fall ist oder nicht, sind viele User zu dem Schluss gekommen, dass es das Beste ist, CarrierIQ von ihren Smartphones zu entfernen. Unglücklicherweise gestaltet sich die Entfernung kompliziert und läuft bei iPhones, Android-Geräten und BlackBerrys unterschiedlich ab. Bei Android ist es zum Beispiel notwendig, das Gerät zu rooten, um das Programm loszuwerden. Alternativ haben Nutzer stattdessen maßgeschneiderte Android-Firmware wie Cyanogemod aufgespielt. Der CarrierIQ-Vorfall zeigt, dass wir überhaupt keine Kenntnis darüber haben, welche Programme genau auf unseren Mobilgeräten laufen oder wie groß die Kontrolle des Mobilfunkbetreibers über unsere Hardware ist. 10. MacOS-Malware Zwar sind wir uns vollkommen darüber im Klaren, dass wir uns selbst in die Schusslinie bringen, indem wir das Thema Malware für MacOS X auch nur erwähnen, aber dennoch sind wir der Meinung, dass es auch in dieser Hinsicht eine wichtige Geschichte aus dem Jahr 2011 gibt, die nicht vergessen werden sollte. Produkte namens MacDefender, MacSecurity, MacProtector oder MacGuard, bei denen es sich um gefälschte Antivirenprodukte für MacOS handelt, tauchten erstmals im Mai 2011 auf und erfreuten sich schnell großer Beliebtheit. Verteilt über Blackhat-SEO-Tricks in Google-Suchanfragen nutzen diese Programme Social-Engineering-Methoden, um die User zum Download, zur Installation und schließlich zur Bezahlung der „Vollversion“ zu bringen. Meistens entdecken diejenigen, die 40 US-Dollar für die angebliche Vollversion gezahlt haben, später, dass sie in Wirklichkeit 140 US-Dollar losgeworden sind und diesen Betrag manchmal sogar mehrmals gezahlt haben. Die Übertragung von PC-Bedrohungen (gefälschte Antiviren-Programme sind eine der am meisten verbreiteten Malware-Kategorien für PCs) auf Macs ist ein wichtiger Trend des Jahres 2011. Neben den gefälschten AntivirenProgrammen für MacOS verdient auch die Trojanerfamilie DNSChanger eine besondere Erwähnung. Erstmalig identifiziert um das Jahr 2007, kompromittieren diese kleinen Trojaner das System auf eine sehr simple Weise: Sie ändern die DNS-Einstellungen so, dass sie zu den Servern 7 der Betrüger führen. Anschließend deinstallieren sich die Schädlinge wieder selbst. Daher ist es möglich, dass ein Computer mit einem DNSChanger infiziert wird, die DNSEinstellungen geändert werden und dessen Nutzer trotzdem glaubt, sein Rechner sei eigentlich frei von irgendwelchen Schädlingen. In Wirklichkeit missbrauchen die Kriminellen die DNS-Kommunikation, um den Anwender gefälschte Webseiten aufrufen zu lassen, Klickbetrug zu betreiben und Man-in-the-Middle-Angriffe zu fahren. Glücklicherweise gelang es dem FBI im November 2011 mit der Verhaftung von sechs estnischen Staatsangehörigen, die Hintermänner der DNSChanger-Malware unschädlich zu machen. Laut Aussage des FBI hatten sie in den vergangenen vier Jahren über vier Millionen Computer in mehr als 100 Ländern infiziert und einen – illegalen – Gewinn von rund 14 Millionen US-Dollar generiert. Diese Vorfälle zeigen, dass Malware für MacOS ebenso real wie für PCs ist und dass selbst moderne Sicherheitsmaßnahmen keinen Schutz vor sorgsam ausgearbeiteten Social-Engineering-Methoden bieten. Es besteht kein Zweifel daran, dass wir auch in Zukunft weiterhin die missbräuchliche Nutzung beider Plattformen beobachten werden können. FAZIT Zusammenfassend lässt sich sagen, dass diese zehn Geschichten in der Galaxie der Sicherheitsvorfälle 2011 nur ein winziges Staubkörnchen sind. Wir haben sie ausgewählt, da sie auf die wichtigsten Akteure des Jahres 2011 hinweisen, die zweifellos auch weiterhin eine Hauptrolle im Cybersicherheits-Blockbuster, der uns ins Haus steht, einnehmen werden. Das sind die Hacktivisten-Gruppierungen, Sicherheitsunternehmen, der Advanced-Persistent-Threat in Form von Supermächten, die sich gegenseitig mittels Cyberspionage bekämpfen, die größten Software- und Spieleentwickler wie Adobe, Microsoft, Oracle und Sony, Strafverfolgungsbehörden, herkömmliche Cyberkriminelle, Google – über das Android- Prognosen für das Jahr 2012 Cyberwaffen Im Jahr 2011 haben praktisch alle großen Länder der Welt ihre Bereitschaft zur Schaffung und Anwendung von Cyberwaffen demonstriert. Das massenhafte Interesse, das im Jahr 2010 mit der Entdeckung des Wurms Stuxnet aufkam, führt dazu, dass einige Staaten nun den gegen sie geführten Einsatz von Cyberwaffen mit einem realen kriegerischen Konflikt gleichsetzen. Dabei vergessen sie die wichtigsten Besonderheiten einer solchen Art von Bedrohung. Stuxnet war eine einzigartige Erscheinung, ein „explosives“ Programm, das für den Einsatz zu einer ganz bestimmten Zeit an einem ganz bestimmten Ort entwickelt wurde. Dabei war eine kriegerische Lösung des Problems praktisch ausgeschlossen. In Zukunft werden solche Cyberwaffen nach Art von Stuxnet ebenfalls Einzelexemplare bleiben – dabei hängt deren Erscheinen vollständig von dem Verhältnis zwischen konkreten Ländern ab. An der Entwicklung einer solchen Cyberwaffe sind immer zwei Seiten beteiligt: das Auftraggeber- oder Entwicklerland und das potenzielle Opfer, mit dem ein so verschärfter Konflikt besteht, dass eine Lösung unumgänglich, der militärische Weg aber ausgeschlossen ist. Eine Analyse derartiger Konflikte macht es möglich, ähnliche Vorfälle für die Zukunft vorherzusagen. Das oben Gesagte gilt für Cyberwaffen à la Stuxnet, das heißt für Sabotage-Programme. Wesentlich weiter verbreitet werden vermutlich simplere Cyberwaffen sein: „Beetles“, „logische Bomben“ und ähnliche, die sich für die Zerstörung von Daten in einem gewünschten Moment eignen. Derartige Software kann auf einer konstanten Basis entwickelt und ebenso konstant und systematisch eingesetzt werden. Zudem können Militärs, Strafverfolgungsbehörden und Geheimdienste Outsourcer mit der Entwicklung solcher Bedrohungen beauftragen – Privatfirmen, denen man zuweilen gar nicht mitteilt, in wessen Auftrag sie eigentlich handeln. Insgesamt könnten sich im Jahr 2012 Cyberkonflikte zwischen den traditionellen Konfliktparteien entwickeln: USA/Israel – Iran, USA/Westeuropa – China. Betriebssystem – und Apple wegen seiner MacOS X Plattform. Die Beziehungen zwischen diesen Akteuren mögen kompliziert sein, voller Dramen, viele Top-Secret-Details enthalten und ebenso geheimnisvoll daherkommen wie im Spielfilm. Eins aber ist sicher: Genau dieselben Stars werden wir auch 2012 in den wichtigsten Sicherheits-Blockbustern wieder antreffen. Massenhaft zielgerichtete Attacken Nachdem wir im letzten Jahr das Auftauchen neue Schadprogramm-Quellen und Cyberattacken seitens neuer Akteure beobachten konnten, erwarten wir im Jahr 2012 einen deutlichen Anstieg zielgerichteter Bedrohungen und einer Zunahme der öffentlich bekannt werdenden Vorfälle. Die Erkennung von Attacken wird sehr viel effektiver als früher, so dass die Zahl der öffentlich bekannten Angriffe steigen wird. Das Problem der Erkennung und Abwehr zielgerichteter Attacken hat bereits einen neuen Zweig der Sicherheitsbranche hervorgebracht. Große Unternehmen, die regelmäßig Angriffen ausgesetzt sind, rufen immer wieder kleinere Privatfirmen zur Hilfe, die diese Fälle untersuchen sollen. Die wachsende Konkurrenz unter die- 8 sen Schutz-Dienstleistern zieht eine gründlichere Aufklärung der aufgedeckten Fälle nach sich. Das gestiegene Schutzniveau und die steigende Zahl der Sicherheitsfirmen zwingt die Attackierenden dazu, ihre Angriffsmethoden in vielerlei Hinsicht zu ändern. Zum gegenwärtigen Zeitpunkt machen sich viele Gruppen, die zielgerichtete Attacken organisieren, häufig noch nicht einmal die Mühe, spezielle Schadprogramme zu entwickeln, sondern verwenden bereits fertige Schädlinge, die noch nicht mal von ihnen selbst stammen. Ein gutes Beispiel hierfür ist der Trojaner PoisonIvy, der ursprünglich in Schweden entwickelt wurde, doch dann zu einem beliebten Werkzeug chinesischer Hacker wurde. Das Gegenbeispiel ist der Trojaner Duqu, der für jeden konkreten Angriff modifiziert wird und ausgesuchte Steuerungsserver verwendet. Die traditionelle Angriffsmethode via E-Mail mit Hilfe angehängter Office-Dokumente, die Exploits zu Sicherheitslücken enthalten, wird mit der Zeit immer weniger effektiv. Immer häufiger wird über den Browser angegriffen. Selbstverständlich hängt die Effektivität dieser Methoden auch von der Zahl der erkannten Sicherheitslücken in populären Programmen wie Browser, Office-Anwendungen und Multimediasystemen ab. Das Spektrum der Unternehmen und Wirtschaftsbranchen, die als Angriffsziel dienen, wird größer. Derzeit stehen die meisten Vorfälle mit wirtschaftlichen oder staatlichen Strukturen in Zusammenhang, die mit der Entwicklung von Waffen zu tun haben, aber auch mit Finanzstrukturen, wissenschaftlich-technischen Instituten und Forschungsunternehmen. Im Jahr 2012 werden Unternehmen aus den Bereichen Energie, Transportwesen, Lebensmittelindustrie, Pharmazie sowie große InternetDienste und IT-Sicherheitsfirmen einem erhöhten Risiko ausgesetzt sein. Auch geografisch werden sich die Angriffe erweitern: Neben westeuropäischen Ländern und den USA, die derzeit die wichtigste Zielscheibe für Attacken darstellen, werden osteuropäische Länder, der Nahe Osten und Südostasien hinzukommen. Mobile Bedrohungen Android Das Interesse von Virenautoren an Android wird weiter steigen. Im Jahr 2012 werden sie ihre Bemühungen im Wesentlichen auf die Entwicklung von Schadprogrammen für diese Plattform konzentrieren. Die Tendenz des zweiten Halbjahres 2011 lässt erahnen, dass sich die Schadprogrammschreiber in nächster Zukunft nicht auf ein anderes mobiles Betriebssystem einschießen werden. praktisch alle Attacken, bei denen Exploits zum Einsatz kamen, auf die Erhöhung der Privilegien im Betriebssystem ausgerichtet. Im Jahr 2012 werden wir es allerdings mit Attacken zu tun bekommen, bei denen Exploits zur Infektion des Betriebssystems angewendet werden. Mit anderen Worten, es werden die ersten Drive-by-DownloadAttacken auftreten. Zunahme von Schadprogrammen in offiziellen App-Shops, in erster Linie im Android Market Bedenkt man, dass die Überprüfung neuer Anwendungen durch Google nach den zahlreichen aufgespürten Schädlingen im Android Market keine wesentlichen Veränderungen mit sich gebracht hat, werden die Virenschreiber kaum aufhören, Schadsoftware auf offizielle Quellen zu laden. Höchstwahrscheinlich werden die ersten Massenwürmer für Android erscheinen, die sich via SMS verbreiten, indem sie Links auf ihre Datei versenden, die in irgendeinem App-Shop untergebracht wurde. Zudem werden wahrscheinlich die ersten mobilen Botnetze auf dieser Plattform in Erscheinung treten. Im Jahr 2011 haben einige Gruppen von Virenschreibern mobile Schädlinge praktisch am Fließband produziert und im Jahr 2012 wird sich dieser Trend nur noch ausweiten. Das bedeutet also, dass wir es höchstwahrscheinlich mit einer vollwertigen Industrie für mobile Schadprogramme zu tun bekommen werden. Andere Plattformen Symbian: Die lange Zeit bei Anwendern und Virenschrei- bern populärste Plattform wird ihre gehobene Position sowohl auf dem Markt der mobilen Betriebssysteme als auch unter Cyberkriminellen einbüßen. Daher erwarten wir keine nennenswerte Zahl neuer Schädlingen für diese Plattform. J2ME: Wie gehabt wird für Java 2 Micro Edition eine nicht geringe Zahl von Schädlingen erscheinen (genauer gesagt SMS-Trojaner). Dabei bleibt deren Menge aber entweder auf dem aktuellen Niveau oder sie verringert sich. Windows Mobile: Diese Plattform war unter Virenschreibern noch nie besonders beliebt und das Jahr 2011 bildete hier keine Ausnahme. Es würde uns nicht wundern, wenn die Zahl der Schadprogramme für diese Plattform im Jahr 2012 an den Fingern einer Hand abzuzählen sein wird. Zunahme der Zahl von Attacken unter Ausnutzung von Sicherheitslücken Windows Phone 7: Es ist wahrscheinlich, dass die In diesem Jahr werden Cyberkriminelle aktiv verschiedene Exploits zur Verbreitung von Schädlingen einsetzen, aber auch Schädlinge, die Exploits enthalten, die zur Erhöhung der Privilegien und zum vollständigen Zugriff auf das Betriebssystem verwendet werden. Im Jahr 2011 waren iOS: Seit dem Erscheinen zweier Schädlinge im Jahr ersten Proof-of-Concept-Schädlinge für diese Plattform auftauchen. 2009, die sich gegen gehackte Geräte unter iOS richteten, hat sich nicht viel getan. Auch für das Jahr 2012 sind kei- 9 nerlei Veränderungen zu erwarten – allerdings nur, wenn Apple seine Politik zur Verbreitung von Software nicht ändert. Vermutlich wird ein nicht geringer Teil der Schädlinge, die im Jahr 2012 für andere Betriebssysteme als Android erscheinen, für zielgerichtete Attacken verwendet werden. Ein krasses Beispiel für solche Attacken sind Angriffe unter Verwendung von ZitMo und SpitMo (Zeus- und SpyEyein-the-Mobile). Mobile Spionage: Der Diebstahl von auf Mobiltele- fonen gespeicherten Daten und die Verfolgung einer Person mit Hilfe ihres Handys und Geolokalisierung werden zu einer weit verbreiteten Erscheinung, die über die Grenzen der üblichen Anwendung dieser Technologien durch Strafverfolgungsbehörden und Detekteien hinausgeht. onen wie möglich über ihre Kunden zu sammeln. Leider geht dieses Sammeln von Daten zumeist nicht mit den notwendigen Maßnahmen zum Schutz der zusammengetragenen Informationen einher. Die Entwicklung von Cloud-Technologien trägt ihren Teil zu potenziellen Datenlecks bei: Cyberkriminellen eröffnet sich ein zusätzliches Angriffsobjekt – die Datenzentren, in denen die Informationen verschiedener Unternehmen gespeichert sind. Das Abfließen von Daten aus Cloud-Diensten könnte dieser Technologie selbst und der Idee der Cloud-Speicher einen empfindlichen Schlag versetzen, da sie im Wesentlichen auf dem Vertrauen der Anwender basiert. Auch Systeme nach Art von CarrierIQ, die Anwenderdaten sammeln, werden im Jahr 2012 mit Sicherheit ausgenutzt werden. Mobile Provider, Software-Hersteller und InternetDienste werden nicht auf die potentiellen Vorteile verzichten, die sich aus dem Besitz von Anwenderdaten ergeben. Attacken auf Online-Banking-Dienste Attacken auf Online-Banking-Systeme werden zu einer der wichtigsten Erscheinungen (wenn nicht zur wichtigsten überhaupt), auf Grund derer normale Anwender ihr Geld verlieren. Die Zahl derartiger Verbrechen nimmt weltweit zu, ungeachtet aller technischen Maßnahmen, die die Banken ergreifen. Die Zahl der Vorfälle wird in den asiatischen Ländern schneller steigen als in anderen Regionen der Erde. Der Grund dafür liegt in der rasanten Entwicklung solcher Dienste in Südostasien und China. Zudem sind in dieser Region viele cyberkriminelle Gruppierungen angesiedelt, die bisher auf andere Arten von Attacken spezialisiert sind – in erster Linie auf Angriffe auf die Nutzer von Online-Games. Darüber hinaus sind asiatische Cyberkriminelle bekannt für Phishing-Attacken auf die Kunden europäischer und amerikanischer Banken. Nun, da die Zahl lokaler Dienstleistungen für den elektronischen Zahlungsverkehr und Finanzdienstleistungen zunimmt, werden die Angriffe auf lokale Banken und Anwender mit Hilfe von lokal ausgerichtetem Phishing und spezialisierten Trojanern deutlich zunehmen. Höchstwahrscheinlich werden sich derartige Attacken nicht nur gegen PC-User, sondern auch gegen mobile Nutzer richten. Neben Südostasien und China sind auch Angriffe auf mobile Bezahlsysteme in ostafrikanischen Ländern möglich. Das Privatleben der Anwender Der Schutz von Anwenderdaten oder deren Privatlebens und ganz allgemein von Informationen wird nach und nach zu einem der wichtigsten Themen in der IT-Sicherheitsbranche. Mit den Vorfällen des Jahres 2011, bei denen Daten russischer Anwender von den Webseiten von Mobilfunkanbietern und elektronischen Handelssystemen gestohlen wurden, der Geschichte um die CarrierIQ-Software, der Speicherung von Geolocation-Daten auf dem iPad/iPhone, dem Abfließen von Daten der Kunden verschiedener Systeme in Südkorea sowie dem Hack des Sony PlayStation Network sind nur die wichtigsten und Aufsehen erregendsten Fälle des vergangenen Jahres genannt. Auch wenn die Gründe für diese Fälle unterschiedlich sind, so sind doch Umfang und Inhalt der Daten Glieder ein und derselben Kette. Immer mehr Unternehmen auf der ganzen Welt versuchen, so viele Informati- Hacktivismus Der Hacktivismus – also ein Hackerangriff, mit dem Protest zum Ausdruck gebracht werden soll – erlebt eine Renaissance und tritt in eine neue Entwicklungsstufe ein. Die zahlreichen Hacks und Attacken auf unterschiedliche staatliche und kommerzielle Strukturen auf der ganzen Welt werden auch im Jahr 2012 fortgesetzt, auch wenn das unweigerlich die Strafverfolgungsbehörden auf den Plan rufen wird und die Hacker mit einer Gefängnisstrafe rechnen müssen. Immer häufiger werden die Aktionen der Hacktivisten politischen Charakter tragen – das wird der entscheidende Unterschied zu den Angriffen des Jahres 2011 sein, die sich im Wesentlichen gegen Unternehmen richteten oder „just for lulz“ durchgeführt wurden. Hacktivismus kann allerdings auch genutzt werden, um andere Attacken zu verschleiern, als Ablenkungsmanöver, falsche Fährte oder „sichere“ Methode, ein interessantes Objekt zu hacken. Im Jahr 2011 kam es im Rahmen von Hacktivisten-Attacken mehr als einmal zum Verlust sensibler Informationen, sowohl kommerzieller Art als auch die nationale Sicherheit betreffend, was zweifellos auch das Ziel klassischer zielgerichteter Attacken ist. In diesen Fällen erwiesen die Hacktivisten (möglicherweise ungewollt) anderen Gruppen einen großen Dienst, die die Angriffsmethoden und die gestohlenen Informationen zu ganz anderen Zwecken und zur Durchführung anderer Attacken nutzen konnten. 10 TEIL 2 Kaspersky Security Bulletin 2011/2012 Statistik für das Jahr 2011 Yury Namestnikov Über die Statistiken Die aufgeführten Statistiken beruhen auf Daten, die mit Hilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet wurden. Die Anwender haben ihre Zustimmung zur Übermittlung der statistischen Daten gegeben. Das KSN verwendet eine Cloud-Architektur in den Produkten für Heimanwender und Unternehmen und zählt zu den wichtigsten Technologien von Kaspersky Lab. Schadprogramme im Internet (Attacken über das Web) Die Zahl der Attacken über den Browser stieg innerhalb eines Jahres von 580.371.937 auf 946.393.693. Mit anderen Worten schützten unsere Produkte die Anwender beim Surfen im Netz durchschnittlich 2.592.859-mal am Tag. Die Zahl der im Jahr 2011 abgewehrten Internet-Attacken übertraf den Wert des Jahres 2010 um den Faktor 1,63 und liegt damit deutlich unter dem Wachstumstempo der Position Name 1 Malicious URL 2 letzten drei Jahre. So registrierten wir im Jahr 2010 achtmal mehr Infizierungsversuche als im Jahr 2009. Der verlangsamte Zuwachs der Infizierungsversuche über das Web hängt damit zusammen, dass die Cyberkriminellen im Jahr 2011 keine prinzipiell neuen Methoden zur Computer-Masseninfektion eingesetzt haben. Die wichtigste Infektionsmethode über den Browser sind Exploit-Packs, die die Durchführung von Drive-by-Attacken ermöglichen, die für den Anwender völlig unbemerkt bleiben. Im Laufe des Jahres wurden auf dem Schwarzmarkt hauptsächlich zwei Exploit-Packs aktiv verkauft: BlackHole und Incognito. Beide brachten es unter Cyberkriminellen schnell zu großer Beliebtheit und hielten Einzug in die Top 5 der am häufigsten eingesetzten Exploit-Packs. Geschäfte dieser Art werden alle im Umfeld von Partnerprogrammen durchgeführt, die von Hackern organisiert werden. Daran wird sich voraussichtlich auch nichts ändern, so dass die Zahl der Web-Attacken in nächster Zeit noch langsamer steigen wird. Daraufhin wird eine allmähliche Stabilisierung der Angriffsmenge eintreten. Top 20 der Schadprogramme im Internet Aus allen Schadprogrammen, die an Internet-Attacken beteiligt waren, haben wir die 20 aktivsten nachfolgend aufgeführt. Auf sie entfielen 87,5 Prozent aller Web-Attacken. Anzahl der Attacken Anteil in Prozent* 712.999.644 75,01 % Trojan.Script.Iframer 35.522.262 3,67 % 3 Exploit.Script.Generic 17.176.066 1,81 % 4 Trojan.Script.Generic 15.760.473 1,66 % 5 Trojan-Downloader.Script.Generic 10.445.279 1,10 % 6 Trojan.Win32.Generic 10.241.588 1,08 % 7 AdWare.Win32.HotBar.dh 7.038.405 0,74 % 8 Trojan.JS.Popupper.aw 5.128.483 0,54 % 9 AdWare.Win32.FunWeb.kd 2.167.974 0,23 % 10 Trojan-Downloader.Win32.Generic 1.979.322 0,21 % 11 AdWare.Win32.Eorezo.heur 1.911.042 0,20 % 12 AdWare.Win32.Zwangi.heur 1.676.633 0,18 % 13 Hoax.Win32.ArchSMS.heur 1.596.642 0,17 % 14 Trojan.HTML.Iframe.dl 1.593.268 0,17 % 15 Trojan.JS.Agent.uo 1.338.965 0,14 % 16 AdWare.Win32.FunWeb.jp 1.294.786 0,14 % 17 Trojan-Ransom.Win32.Digitala.bpk 1.189.324 0,13 % 18 Trojan.JS.Iframe.tm 1.048.962 0,11 % 19 AdWare.Win32.Agent.uxx 992.971 0,10 % 20 AdWare.Win32.Shopper.ee 970.557 0,10 % * Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden. 11 Die Entwicklung neuer auf den Möglichkeiten von KSN basierender Erkennungstechnologien hat dazu geführt, dass sich der Anteil der Bedrohungen, die mit heuristischen Methoden ohne Aktualisierungen der klassischen Antiviren-Datenbanken entdeckt werden, von 60 Prozent auf 75 Prozent erhöht hat. Schädliche Webseiten, die mit Hilfe dieser Methoden entdeckt werden, belegen den ersten Platz in unserem Ranking. Anzumerken ist dabei, dass ein wesentlicher Teil der schädlichen Weblinks (Malicious URL) auf Webseiten mit Exploits entfällt. Auf Position zwei liegen schädliche Skripte, die Cyberkriminelle mit Hilfe spezieller Programme in den Code von gehackten legitimen Webseiten einschleusen. Die Injektion des Skript-Tags mit einem Link auf eine schädliche Ressource wird im Zuge einer Drive-by-Attacke eingesetzt: Der Anwender besucht die legitime Seite und der Browser leitet ihn unbemerkt auf eine Ressource um, die eine Exploitsammlung enthält. Ähnliche schädliche Skripte, die mit einfacheren, nämlich Signatur-basierten Methoden entdeckt wurden, positionierten sich auf den Rängen 14 und 18. Die Positionen 3 bis 6 belegen verschiedene heuristische Entdeckungen von Schadprogrammen in Form von Skripten und ausführbaren PE-Dateien. Solche Programme initiieren den Download und die Ausführung anderer Schadprogramme und haben zudem auch eine Payload – sie stehlen zum Beispiel Daten für das Online-Banking und andere Services sowie Accounts von sozialen Netzwerken. Bei weiteren sieben Vertretern aus den Top 20 handelt es sich um Werbeprogramme der Familien Zwangi, FunWeb, Eorezo, Shopper und HotBar, die nicht zum ersten Mal in unserem Jahresrating vertreten sind. Diese Programme versuchen auf unterschiedliche Arten in einen Computer einzudringen, wobei sie teilweise sehr grenzwertig vorgehen. Gegenüber dem Jahr 2010 gibt es zwei neue Arten von Schadprogrammen. Zum einen sind das Programme wie Hoax.Win32.ArchSMS.heur (13. Platz), die beim Betrug mit Kurznummern verwendet werden. Unsere Produkte registrierten mehr als eine Million Vorfälle unter Mitwirkung dieser Machwerke, wobei der Löwenanteil auf das russischsprachige Internetsegment entfällt. Zum anderen handelt es sich um den Erpresser-Trojaner Digitala (Platz 17). Dieser Schädling setzt die normale Funktionsweise des Computers außer Kraft und fordert vom Anwender ein Lösegeld, damit das System wieder ordnungsgemäß funktioniert. Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind Zur Durchführung der 946.393.693 Attacken über das Internet verwendeten die Cyberkriminellen 4.073.646 Domains. Die Server, auf denen der Schadcode untergebracht war, wurden in 198 Ländern der Welt lokalisiert. 86,4 Prozent aller von Kaspersky Lab im Netz registrierten schädlichen Hostings waren auf Servern in zwanzig Ländern untergebracht. Position Land* Anzahl der Attacken** 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 USA Russland Niederlande Deutschland Ukraine China Großbritannien Britische Jungferninseln Kanada Schweden Frankreich Rumänien Südkorea Tschechien Lettland Spanien Japan Türkei Brasilien Belize Prozentualer Anteil an allen Attacken 240.022.553 138.554.755 92.652.499 82.544.498 47.886.774 46.482.840 44.676.036 26.336.323 19.723.107 15.472.406 14.706.167 12.685.394 7.220.494 6.009.847 5.371.299 5.066.469 3.468.602 3.150.767 2.712.440 2.660.150 25,4 % 14,6 % 9,8 % 8,7 % 5,1 % 4,9 % 4,7 % 2,8 % 2,1 % 1,6 % 1,6 % 1,3 % 0,8 % 0,6 % 0,6 % 0,5 % 0,4 % 0,3 % 0,3 % 0,3 % * Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP). ** Gesamtzahl der von Kaspersky Lab registrierten einzelnen Attacken von Webressourcen, die in dem jeweiligen Land untergebracht sind. 12 Die beiden ersten Positionen belegen dieselben Länder wie im Vorjahr – die USA mit 25,4 Prozent und Russland mit 14,6 Prozent. Wichtig ist dabei, dass die aktive Zunahme des Anteils von schädlichen Hostings gestoppt ist, die wir in diesen Ländern in den letzten Jahren registriert haben. Zu dieser Entwicklung hat vor allem die Schließung verschiedener Botnetze durch die Strafverfolgungsbehörden beigetragen. Doch obwohl der prozentuale Anteil der schädlichen Hostings in diesen Ländern sogar ein wenig zurückgegangen ist, bleiben die Werte doch insgesamt auf einem hohen Niveau. Die strenge Regulierung der Domain-Registrierung in China hat weiterhin einen positiven Effekt. Noch vor zwei Jahren war China nach der Zahl der schädlichen Hostings mit riesigem Abstand Spitzenreiter. Auf dieses Land entfielen mehr als die Hälfte aller Schädlings-Quellen im World Wide Web (52 %). Im darauffolgenden Jahr sank dieser Wert auf 13 Prozent. Im Jahr 2011 fiel der Anteil der schädlichen chinesischen Hostings um weitere 8,2 Prozent und das Land rutschte damit von Position drei auf Platz sechs ab. Anwender klicken in den Suchergebnissen der größten Suchmaschinen Google und Yandex immer wieder direkt auf schädliche Links. Mit einem Abstand von einem Prozent positionierten sich soziale Netzwerke auf Platz drei. Am vorsichtigsten muss man bei Facebook und Vkontakte sei, denn in diesen sozialen Netzwerken verbreiten Cyberkriminelle schädliche Inhalte besonders aktiv. Platz vier und fünf belegen verschiedene Werbenetze (zumeist Banner) und Webseiten mit Inhalten für Erwachsene. Von Cyberkriminellen ausgenutzte angreifbare Anwendungen Wie bereits erwähnt, sind Exploits bereits das zweite Jahr in Folge die wichtigste Waffe im Arsenal der Online-Gangster bei der Durchführung von Web-Attacken. Eine Analyse der populärsten Exploits hat diejenigen Programme zutage gefördert, bei denen Hacker im Jahr 2011 am häufigsten Sicherheitslücken zur Durchführung von Attacken auf Computer ausnutzten. Die Niederlande und Deutschland belegen das zweite Jahr in Folge die Plätze 3 respektive 4. Das ist zum Teil mit den Angeboten der Provider in diesen Ländern für günstiges und hochwertiges Hosting zu erklären, die nicht nur für ehrliche Kunden interessant sind, sondern auch für Cyberkriminelle. Wo schädliche Links platziert sind Neben den Drive-by-Attacken verfügen Cyberkriminelle auch noch über andere Methoden, um die Anwender auf schädliche Webseiten zu locken, wie etwa BlackSEO, Spam in sozialen Netzwerken und das Setzen von Weblinks mit verlockenden Kommentaren auf populären Seiten. Wir haben zusammengefasst, auf welchen Seiten die KSN-Anwender im Jahr 2011 am häufigsten versucht haben, schädlichen Links zu folgen. Die Top 20 der Seiten, von denen die meisten dieser Versuche unternommen wurden, haben wir in verschiedene Kategorien eingeteilt. Anwendungen, deren Sicherheitslücken im Jahr 2011 von Web-Exploits ausgenutzt wurden 35 Prozent der Vorfälle mit Exploits zielten auf Sicherheitslücken im Adobe Acrobat Reader ab. Im Jahr 2011 stieg die Popularität von Exploits für Java drastisch an, so dass die Sicherheitslücken in Java den zweiten Platz im Rating der Exploit-Zielscheiben belegen – mit ihnen stand ein Viertel aller Vorfälle in Verbindung. Wir weisen darauf hin, dass die aktuellen Exploit-Packs zur Hälfte aus JavaExploits bestehen. Position drei belegen Programme, die Sicherheitslücken in Windows-Komponenten ausnutzen. Die auffälligsten Vertreter dieser Art sind Exploits zur Sicherheitslücke MS10-042 aus dem Jahr 2010. 4 Prozent aller Schwachstellen entfallen auf den standardmäßig in allen WindowsVersionen installierten Browser Internet Explorer. Kategorien von Webseiten, von denen die Anwender im Jahr 2011 am häufigsten versucht haben, schädlichen Links zu folgen Auf Position eins befinden sich verschiedene Videoportale wie Youtube. Den zweiten Platz belegen Suchsysteme. Die Besonders interessant ist, dass sich auf Platz sechs Exploits für die mobile Plattform Android OS positionieren konnten, die bis zum Jahr 2011 in keinem derartigen Rating vertreten waren (4 Prozent). Sie alle ermöglichen es Schadprogrammen, Administratorrechte und volle Kontrolle über das Telefon oder den Tablet-PC zu erlangen (Jailbreak). 13 über 2.367.130.584 Virenvorfälle auf den Computern entdeckt. Bei diesen Vorfällen wurden 1.590.861 verschiedene schädliche und potenziell unerwünschte Programme registriert. Top 20 der auf den Computern der Anwender entdeckten schädlichen Objekte Bei den Schadprogrammen aus den Top 20 handelt es sich um die am weitesten verbreiteten Bedrohungen des Jahres 2011. Für die Masseninfektion nutzen Cyberkriminelle bereits seit langem bekannte Sicherheitslücken aus, während Zero-Day-Exploits für zielgerichtete Attacken aufgespart werden. Der Grund dafür ist simpel – auf der Welt gibt es genügend Computer, auf denen veraltete Software und veraltete Betriebssysteme laufen. Im KSN laufen 63 Prozent der Computer, die Attacken ausgesetzt waren, unter Windows XP, während auf die moderneren Betriebssysteme Windows 7 und Vista nur 37 Prozent der Vorfälle entfallen. Lokale Infizierungen Die Statistik der lokalen Infizierungen ist von besonderer Bedeutung. In diese Daten fließen die Objekte ein, die nicht über das Web, per E-Mail oder über Netzwerkports eingedrungen sind. Unsere Antiviren-Lösungen haben Position Name 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Trojan.Win32.Generic DangerousObject.Multi.Generic Net-Worm.Win32.Kido.ih Virus.Win32.Sality.aa Net-Worm.Win32.Kido.ir Virus.Win32.Sality.bh Trojan.Win32.Starter.yy Worm.Win32.Generic Hoax.Win32.ArchSMS.heur Virus.Win32.Sality.ag Packed.Win32.Katusha.o HiddenObject.Multi.Generic Virus.Win32.Nimnul.a Worm.Win32.VBNA.b HackTool.Win32.Kiser.zv Hoax.Win32.Screensaver.b Packed.Win32.Klone.bq Exploit.Script.Generic Trojan.Script.Iframer AdWare.Win32.HotBar.dh Mit verschiedenen heuristischen Methoden haben wir auf mehr als 18 Millionen Computern (18.230.930) Versuche einer Infizierung registriert: Trojan.Win32.Generic (Platz 1), Worm.Win32.Generic (Platz 8), HiddenObject.Multi.Generic (Platz 12) und Exploit.Script.Generic (Platz 18). Den zweiten Platz im Rating belegen verschiedene Schadprogramme, die mit Hilfe von Cloud-Technologien entdeckt und als DangerousObject.Multi.Generic eingeordnet wurden. Cloud-Technologien greifen dann, wenn in den Datenbanken bisher noch keine Signaturen enthalten sind und eine heuristische Erkennung eines Schadprogramms nicht möglich ist, dafür aber in der Cloud von Kaspersky Lab bereits Informationen über das Objekt existieren. Mit Hilfe des Urgent Detektion Systems (UDS), das zum Kaspersky Security Network gehört, wurden mehr als 12 Millionen Computer in Echtzeit geschützt. Acht Programme aus den Top 20 besitzen entweder einen Selbstverbreitungsmechanismus oder werden als Anzahl infizierter Computer* Anteil in Prozent 12.804:003 12.327.029 5.073.357 4.017.673 3.927.070 3.222.166 2.985.017 2.113.422 1.771.798 1.566.186 1.507.697 1.416.697 1.310.704 1.136.110 1.102.150 1.067.025 979.917 951.659 945.149 849.450 24,2 % 23,3 % 9,6 % 7,6 % 7,4 % 6,1 % 5,7 % 4,0 % 3,4 % 3,0 % 2,9 % 2,7 % 2,5 % 2,2 % 2,1 % 2,0 % 1,9 % 1,8 % 1,8 % 1,6 % * Prozentualer Anteil der Computer, auf denen Kaspersky Web-Anti-Virus einen Schädling erkannt hat, an allen Computern mit Kaspersky-Produkten, auf denen Web-Anti-Virus Alarm geschlagen hat. 14 Element von Würmern verwendet: Net-Worm.Win32.Kido. ih (3. Platz), Virus.Win32.Sality.aa (4. Platz), Net-Worm. Win32.Kido.ir (5. Platz), Virus.Win32.Sality.bh (6. Platz), Trojan.Win32.Starter.yy (7. Platz), Virus.Win32.Sality.ag (10. Platz), Virus.Win32.Nimnul.a (13. Platz) und Worm. Win32.VBNA.b (14. Platz). Fast 2 Millionen Anwender (1.771.798) hatten es mit Betrug mit kurzen SMS-Nummern zu tun (Hoax.Win32.ArchSMS.heur, 9. Platz). Unter verschiedenen Vorwänden, meist indem der Zugriff auf ein Archiv oder eine Installationsdatei versprochen wird, versuchen die Cyberkriminellen, den Anwender dazu zu bringen, eine SMS an eine Premium-Nummer zu schicken. In den meisten Fällen erhält er nach dem Senden der Mitteilung keinerlei Gegenleistung. Die klassischen Dateiviren haben mit Virus.Win32. Nimnul.a Zuwachs erhalten. Dieses Schadprogramm verbreitet sich auf zwei Arten: Durch Infektion ausführbarer Dateien und über Wechseldatenträger mittels AutostartFunktion. Das Hauptverbreitungsgebiet liegt in asiatischen Ländern – zum Beispiel in Indien (21 %), Indonesien (16 %), Vietnam (18 %) und Bangladesch (10 %) – wo die Betriebssysteme selten aktualisiert werden und längst nicht auf jedem Computer eine Sicherheitssoftware installiert ist. Die Hauptaufgabe des Schädlings besteht darin, das Schadprogramm Backdoor.Win32.IRCNite.yb auf den infizierten Computer zu transportieren, anschließend mit einem entfernten Server Verbindung aufzunehmen und den Rechner an ein Botnetz anzuschließen. Um die Schadprogramme vor Entdeckung zu schützen, setzen Cyberkriminelle bevorzugt auf die Verschleierung und das Verpacken ihrer Machwerke: Auf den Plätzen 11, 14 und 17 liegen derartige Programme aus den Familien Katusha, VBNA und Klone. Bemerkenswert ist, dass alle drei Programme praktisch gleichzeitig entdeckt wurden, und zwar in der Zeit zwischen Ende August und Anfang September 2010. „Die Weltkarte“ Eine der interessantesten Fragen, die unsere Statistik beantworten kann, lautet, in welchen Ländern es die Anwender am häufigsten mit Cyberbedrohungen zu tun hatten. So erhält man einen Index für die Aggressivität der Umgebung, in der der Computer läuft. Um den Grad des Infektionsrisikos einschätzen zu können, dem die Computer in den verschiedenen Ländern der Welt ausgesetzt sind, haben wir für jedes Land berechnet, wie häufig Kaspersky Anti-Virus auf den Computern im Laufe des Jahres 2011 Alarm geschlagen hat. Im Jahr 2011 hat sich das prozentuale Verhältnis zwischen Entwicklungs-/Schwellenländern und Industrienationen in den Top 20 geändert. Im vergangenen Jahr war mit den USA nur eine Industrienation in diesem Rating vertreten. Im Jahr 2011 gesellten sich England und Kanada dazu. Auch beim Führungstrio gab es Veränderungen. Innerhalb Web-Bedrohungen Position Land Prozentualer Anteil der Anwender* 1 2 3 4 5 6 7 8 9 10 11 Russland Oman USA Armenien Weißrussland Aserbaidschan Kasachstan Irak Ukraine Guinea-Bissau Malaysia 55,9 % 54,8 % 50,1 % 49,6 % 48,7 % 47,5 % 47,0 % 45,4 % 45,1 % 45,1 % 44,4 % 12 13 14 15 16 17 18 19 20 Sri Lanka Saudi Arabien Indien Sudan Großbritannien Tadschikistan Katar Kuwait Kanada 44,2 % 43,9 % 43,8 % 43,5 % 43,2 % 43,1 % 42,4 % 42,3 % 42,1 % Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky Lab-Produkten vergleichsweise gering ist (weniger als 10.000). *Prozentualer Anteil der Anwender, die Webattacken ausgesetzt waren, an allen Computern mit Kaspersky-Produkten im entsprechenden Land eines Jahres sank im Irak das Infektionsrisiko beim Surfen im Netz deutlich, von 61,8 Prozent auf 45,4 Prozent. Dieses Land rutschte in unserem Rating von Platz eins auf Platz acht ab. Russland hingegen legte 2,2 Prozentpunkte zu und stieg damit von Rang drei auf Platz eins. Hier betrug der Anteil der beim Surfen angegriffenen Computer 55,9 Prozent. Position zwei belegt mit 54,8 Prozent nach wie vor Oman. Die USA stiegen zwei Plätze auf und belegen nun mit 50,1 Prozent Position drei. Ein wesentlicher Anteil der Attacken auf die amerikanischen User wurde im Jahr 2011 von gehackten Webseiten mit Hilfe des ExploitPacks „BlackHole Exploit Pack“ durchgeführt. Durch einen erfolgreichen Angriff auf einen Computer konnte dort eine ganze Menagerie verschiedener Schadprogramme installiert werden: der Trojan-Banker Zbot (Zeus), die multifunktionalen Backdoor-Klicker ZeroAccess, falsche Antiviren-Lösungen und Erpresser-Software. 15 Nach dem Grad des Infektionsrisikos beim Surfen im Web lassen sich alle Länder in verschiedene Gruppen einteilen. 1. Gruppe mit erhöhtem Risiko Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören 22 Länder. Neben den Ländern aus den Top 20 sind das Australien (41,5 %) und China (41,4 %). 2. Risikogruppe In der Gruppe mit Werten von 21 bis 40 Prozent sind 118 Länder vertreten, darunter Italien (38,9 %), die Vereinigten Arabischen Emirate (38,2 %), Frankreich (37 %), Schweden (32 %), Holland (37,1 %) und Deutschland (26,6 %). 3. Gruppe der beim Surfen im Internet sichersten Länder (0 - 20%) Im Jahr 2011 zählten zu dieser Gruppe insgesamt 9 Länder: Äthiopien (20,5 %), Haiti (20,2 %), Dänemark (19,9 %), Niger (19,9 %), Togo (19,6 %), Burundi (18,6 %), Simbabwe (18,6 %), Benin (18,0 %) und Myanmar (17,8 %). Die bedeutendsten Veränderungen gab es im Jahr 2011 in der letzten Gruppe, denn ihre Zusammensetzung hat sich praktisch komplett geändert. Deutschland, Japan, Luxemburg, Österreich und Norwegen, deren Werte im Jahr 2010 noch zwischen 19 und 20 Prozent lagen, sind nun in der Risikogruppe. Mit Ausnahme von Dänemark besteht die Gruppe der sichersten Länder nun fast ausschließlich aus Neulingen im Rating. Wir weisen darauf hin, dass die Länder aus der sichersten Gruppe beim Surfen hinsichtlich einer lokalen Bedrohung in die Gruppe mit dem höchsten und maximalen Infektionsniveau fallen. Dass sie dennoch zu der Gruppe der beim Surfen sichersten Länder gehören, erklärt sich durch die Verbreitungsart von Dateien in diesen Ländern: Das Internet ist dort bisher noch nicht sehr weit entwickelt, daher werden für den Austausch von Dateien unter Usern verschiedene mobile Datenträger verwendet. Als Folge erscheinen diese Länder bezüglich der InternetBedrohungen praktisch gar nicht auf unserem Radar, doch eine Unmenge von Anwendern hat hier mit Viren und Würmern auf ihren Rechnern zu kämpfen, die sich zum Beispiel über USB-Sticks oder über infizierende Dateien verbreiten. Insgesamt ist das Niveau der Infektionsgefahr im Internet innerhalb eines Jahres weltweit um 2 Prozentpunkte gestiegen und betrug 32,3 Prozent. Zudem ist das Abrutschen vieler westeuropäischer Länder und Japans in die Risikogruppe ein beunruhigendes Zeichen, denn gerade auf die Anwender in diesen Ländern haben es die professionellsten Cyberkriminellen abgesehen. Position Land Prozentualer Anteil der Anwender* 1 2 3 4 5 6 7 8 9 10 11 12 13 Sudan Bangladesch Irak Tansania Angola Ruanda Indien Nepal Uganda Sri Lanka Oman Malawi Indonesien 94,6 % 92,6 % 81,0 % 80,8 % 79,4 % 78,5 % 77,5 % 77,1 % 75,5 % 74,6 % 74,3 % 73,9 % 73,6 % 14 15 16 17 18 19 20 Afghanistan Mongolei Nigeria Mauretanien Maldediven Iran Äthiopien 73,6 % 72,9 % 71,9 % 71,8 % 71,7 % 71,5 % 70,7 % Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky Lab-Produkten vergleichsweise gering ist (weniger als 10.000). *Prozentualer Anteil der Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Computern mit Kaspersky-Produkten im entsprechenden Land. Lokale Bedrohungen Neben den Bedrohungen über das Internet sind auch die Daten über die Erkennung von Schadprogrammen von Interesse, die direkt auf Computern oder daran angeschlossenen Wechselmedien gefunden werden, etwa auf USB-Sticks, Speicherkarten, Telefonen oder externen Festplatten. Diese Statistik spiegelt das Infektionsniveau von PCs in verschiedenen Ländern der Welt wider. Die gesamten Top 20 des Jahres 2011 setzen sich aus Ländern Afrikas und Asiens zusammen. Die Situation in einigen Regionen ist besorgniserregend wie etwa im Sudan und Bangladesch, wo 9 von 10 Computern im Laufe des Jahres mindestens einmal von einem Schadprogramm infiziert wurden. Der noch ungenügende Einsatz von Antiviren-Programmen und die nur oberflächlichen Kenntnisse der Anwender über mögliche Computerbedrohungen machen die Rechner in diesen Ländern zur leichten Beute für Schadprogramme. 16 Auch bei den lokalen Bedrohungen lassen sich die Länder der Welt in verschiedene Kategorien einteilen. Wir haben unsere Berechnungsmethode im Vergleich zum Vorjahr umgestellt und die Daten über die vom On-Demand-Scanner gefundenen Bedrohungen mit einbezogen, der die Festplatte und externe Datenträger überprüft. Infolgedessen stieg das allgemeine Infektionsniveau. Daher haben wir auch die Gruppeneinteilung überarbeitet, um die aktuelle Situation möglichst adäquat wiederzugeben. 1. Maximales Infektionsniveau (über 75 %): 9 Länder aus Asien und Afrika. 2. Hohes Infektionsniveau (56 - 75 %): Netzattacken Ein unverzichtbares Element jedes modernen Schutzprogramms ist die Firewall. Sie ermöglicht es, Angriffe auf den Computer zu blockieren, die von außen über den Browser durchgeführt werden und wehrt zudem Versuche ab, Anwenderdaten vom Computer zu stehlen. In vielen Kaspersky-Lösungen ist eine Firewall mit Intrusion Detection System (IDS) zur Erkennung eingehender Pakete integriert. Dabei handelt es sich meist um Exploits, die Schwachstellen in Netzwerkdiensten von Betriebssystemen ausnutzen und in der Lage sind, ein System mit nicht geschlossenen Sicherheitslücken zu infizieren oder Cyberkriminellen vollen Zugriff auf das System zu verschaffen. 70 Länder der Welt, darunter die Philippinen (61 %), Russland (60,6 %), Ecuador (57,8 %), Kolumbien (57,7 %) und China (57,5 %). Top 20 der Netzattacken 3. Mittleres Infektionsrisiko (35 - 55 %): Position Name 1 Intrusion.Win.MSSQL.worm.Helkern 67,7 % 2 Intrusion.Win.NETAPI.buffer-overflow.exploit 24,7 % 3 DoS.Generic.SYNFlood 14,6 % 4 Scan.Generic.UDP 8,7 % 5 Scan.Generic.TCP 3,9 % 6 Intrusion.Win.DCOM.exploit 2,0 % 7 Intrusion.Win.LSASS.exploit 1,8 % 8 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1,3 % 9 DoS.Generic.ICMPFlood 1,2 % 10 DoS.Win.ICMP.BadCheckSum 0,8 % 11 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 0,8 % 12 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 0,4 % 13 DoS.Generic.PingOfDeath 0,4 % 14 Intrusion.Generic.WebApp.DirTravers.exploit 0,4 % 15 Intrusion.Win.EasyAddressWebServer.format-string.exploit 0,4 % 16 Intrusion.Win.PnP.exploit 0,2 % 17 Intrusion.Win.CVE-2010-2729.a.exploit 0,1 % 18 Intrusion.Win.MSFP2000SE.exploit 0,1 % 19 Intrusion.Unix.Efscsar.buffer-overflow.exploit 0,1 % 20 Intrusion.Win.MSSQL.preauth.buffer-overflow.exploit 0,1 % 55 Länder, unter anderem Mexiko (55 %), die Türkei (55 %), Brasilien (54,1 %), Rumänien (48,6 %), Spanien (44,9 %), USA (40,2 %), Australien (39,1 %), Frankreich (37,9 %), Kanada (37,4 %) und England (37%. 4. Geringstes Infektionsrisiko (0 - 35 %): 14 Länder Länder mit minimalen Computer-Infizierungsraten: Position Land 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Dänemark Japan Deutschland Finnland Tschechien Schweiz Luxemburg Österreich Schweden Norwegen Niederlande Belgien Slowenien Neuseeland Prozentualer Anteil 20,6 % 21,1 % 25,3 % 26,3 % 27,0 % 27,6 % 27,9 % 28,4 % 28,8 % 29,5 % 29,7 % 32,3 % 32,7 % 34,7 % Ungeachtet der veränderten Berechnungsmethode sieht die Gruppe der sichersten Länder praktisch genauso aus wie im Vorjahr. *Anteil an allen Vorfällen, die vom IDS auf den teilnehmenden Computern registriert wurden Prozentualer Anteil* 17 Im Jahr 2011 wehrten die Systeme von Kaspersky Lab 2.656.409.669 Versuche von unerlaubtem Eindringen in die Computer ab – doppelt so viele wie noch im Vorjahr. Zahl einzelner Anwender Auf Position eins des Ratings befindet sich einmal mehr der Wurm Slammer (Helkern). Sein Verhalten im Laufe des Jahres war äußerst seltsam – einige Wochen lang war er komplett vom Radar verschwunden, dann tauchte er ganz plötzlich wieder aus der Versenkung auf. 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 9 1 13 15 17 19 21 23 25 27 29 31 33 5 37 39 41 1 3 5 7 9 51 53 3 5 7 1 3 he che che he che he he he he he he he he he he he he he he he he he 4 e 4 e 4 he 4 he he c c h h o c c c c c c c c c c o w wo wo wo w woc wo wo wo wo woc wo wo wo woc wo wo woc woc wo woc woc oc oc woc woc woc w w 1 11 11 11 11 01 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 1 1 11 11 11 0 2 20 20 20 2 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 201 201 20 20 20 Intrusion.Win.NETAPI.buffer-overflow.exploit, der Spitzenreiter des Vorjahrs, rutschte auf Platz zwei der Top 20. Zur Erinnerung: Dieses Exploit nutzt die Sicherheitslücke MS08-067, die erstmals von dem Wurm Kido und später von dem berühmt-berüchtigten Wurm Stuxnet ausgenutzt wurde. Ein großer Teil der Hitliste besteht aus bewährten Exploits, die sich über infizierte Computer verbreiten. Eine neunstellige Zahl von Infektionsversuchen über das Netz belegt außerdem, dass es im Wesentlichen eine Heerschar komplett ungeschützter Computer gibt, die mit dem World Wide Web verbunden sind. 18 TEIL 3 Kaspersky Security Bulletin 2011/2012 Spam im Jahr 2011 Darya Gudkova · Maria Namestnikova Die Zahlen des Jahres • Der Spam-Anteil im E-Mail-Traffic betrug durchschnittlich 80,26 Prozent. • Der Anteil von Phishing-Mails ging um das 15fache zurück und betrug durchschnittlich 0,02 Prozent am gesamten E-Mail-Traffic. • Der Anteil von Spam mit schädlichen Anhängen nahm um das 1,7fache zu und betrug 3,8 Prozent des E-Mail-Traffics. Trends 2011 Spam-Menge nimmt ab Nach dem aktiven Kampf gegen Botnetze im Jahr 2010 ging der Spam-Anteil am E-Mail-Aufkommen deutlich zurück. Im Jahr 2011 betrug der Spam-Anteil durchschnittlich 80,26 Prozent. Das ist ein geringerer Wert als der für das Jahr 2010 – von der „Spam-Hochsaison“ im Jahr 2009 ganz zu schweigen. Spam-Anteil im E-Mail-Traffic in den Jahren 2007-2011 Auf der Grafik ist gut zu erkennen, dass der Spam-Anteil im E-Mail-Traffic in den vergangenen zwei Jahren abgenommen hat. Dafür gibt es mehrere Erklärungen: Erstens werden weiterhin Steuerungszentralen von Botnetzen offline genommen – so wurden im Jahr 2011 Rustock und Hlux/Kelihos zerschlagen. Zweitens setzen die Spammer verstärkt auf zielgerichtete Versendungen. So verschicken die Teilnehmer von Partnerprogrammen Pharma-Spam beispielsweise anhand von Adressdatenbanken, die von Webressourcen gestohlen wurden, die auf traditionelle Männerthemen ausgerichtet sind. Dabei ist der Umfang der zielgerichteten Versendungen wesentlich geringer als der der üblichen Versendungen und die Resonanz darauf ist potenziell größer. Drittens berücksichtigen die Spammer seit einigen Jahren den Bedarf der von ihnen angebotenen Waren in den verschiedenen Ländern und Regionen. So gab es in den USA und den Ländern Westeuropas in den letzten Jahren wesentlich mehr Spam mit Werbung für „Medikamente“ und „Imitate von Luxusartikeln“ als in Russland und den GUS-Staaten, obwohl Spam dieser Kategorien auch im russischen Internetsegment reichlich vertreten war. In dieser Hinsicht war das Jahr 2011 ein Wendepunkt: Aufgrund der begrenzten Ressourcen waren die an pharmazeutischen Partnerprogrammen teilnehmenden Spammer gezwungen, russische Adressen aus ihren Datenbanken auszuschließen, so dass der Partner-Spam im russischen Internetsegment deutlich zurückging. Zielgerichtete Phishing-Attacken Ein deutlicher Trend des Jahres 2011 ist das „Spear Phishing“ – also zielgerichtetes Phishing. Diese Art von Phishing-Attacken zeichnet sich dadurch aus, dass die Cyberkriminellen ihre Mitteilungen nicht an willkürlich ausgewählte Adressen versenden, sondern vorab eine Personen- oder Anwendergruppe auswählen, gegen die sich der Angriff richten wird. Unter zielgerichtetem Phishing versteht man nicht einen bestimmten Ansatz, sondern verschiedene Methoden, die sich in ihren Zielen und durch die Schwierigkeit der Durchführung voneinander unterschieden. Das zielgerichtete Phishing kann dasselbe Ziel verfolgen wie das traditionelle Phishing, das heißt: in den Besitz der Kontodaten der Anwender zu gelangen, um damit Zugriff auf deren Accounts zu bekommen. Eine der Spielarten des zielgerichteten Phishings ist zum Beispiel ein Angriff auf solche Anwender, die alle Kunden eines bestimmten Dienstleisters sind. Die Mail der Phisher gleicht bis ins kleinste Detail den offiziellen Benachrichtigungen des angegriffenen Dienstleisters und enthält im Mailkörper einen Link auf ein Registrierungsformular – eine exakte Kopie des echten Registrierungsformulars. Es sieht so aus, als hätten auch chinesische Verbrecher dieses ausgeklügelte Schema angewendet. Sie konnten sich infolge einer Attacke Zugriff auf Google-Accounts von hochgestellten Beamten in den USA verschaffen. Der wichtigste Unterschied dieses Schemas zum traditionellen Phishing liegt darin, dass weniger Personen betroffen sind, das Ziel aber wesentlich genauer umrissen ist. In letzter Zeit wenden Phisher eine andere, noch weitaus raffiniertere Methode an: Versendungen mit personalisierten Mails. Wir sind daran gewöhnt, dass Phishing-Mails unpersönliche Anreden enthalten wie etwa „Lieber Nutzer unseres Netzwerks!“ oder „Geehrter Kunde!“. Ein komplexeres Schema des zielgerichteten Phishings setzt voraus, dass die Cyberkriminellen nicht nur wissen, bei welchem Unternehmen das potenzielle Opfer Kunde oder Mitarbeiter ist, sondern auch dessen vollen Namen kennen. Heutzutage ist es kein besonderes Problem für Phisher, an diese Informationen zu kommen: Die Nutzer von sozialen Netzwerken verbergen ihre Daten häufig nicht – ein Umstand, den sich Cyberkriminelle zu Nutze machen. Indem die Verbrecher Daten verwenden, die der Anwender selbst öffentlich zugänglich gemacht hat, erlangen sie mit großer Wahrscheinlichkeit das Vertrauen ihres Opfers. 19 Eine andere Spielart der zielgerichteten Attacken sind Angriffe, die den Zugriff auf Ressourcen eines Unternehmens zum Ziel haben. Genau dieses Ziel verfolgten die Cyberkriminellen, die im März 2011 eine Attacke auf die RSA durchführten, die Sicherheitsabteilung des großen ITUnternehmens EMC. Nachdem sie einige Mitarbeitergruppen der Firma angegriffen hatten, war es ihnen gelungen, zumindest einen RSA-Mitarbeiter dazu zu bringen, die angehängte Datei „2011 Recruitment plan.xls“ zu öffnen. In die Excel-Datei war ein Exploit integriert, der eine ZeroDay-Sicherheitslücke ausnutzt, mit Hilfe derer die Phisher Zugriff auf die Systeme des Unternehmens erhielten. In Folge der Attacken stahlen die Phisher Daten der Firma RSA. Zielgerichtete Phishing-Attacken sind auch dadurch gefährlich, dass die bei solchen Angriffen verwendeten Mitteilungen vom Umfang her sehr gering sind und wirkliche Unikate sein können. Solche E-Mails werden häufig von der Schutz-Software nicht als Spam erkannt. Organisationen, die einer zielgerichteten Phishing-Attacke ausgesetzt sind, kann ein DLP-System (Data Leakage Prevention) schützen und somit Datenlecks verhindern. Die letzte Hürde auf dem Weg der Phisher zu den finanziellen, persönlichen und sonstigen Daten der Heimanwender ist der menschliche Faktor, auf dem das gesamte Phishing-Schema basiert. Als aufmerksamer und kritischer Nutzer kann man jedoch solche Gefahren vermeiden und muss den Phishern nicht in die Falle tappen. Der Anwender muss immer daran denken, dass die Phisher – so gut es ihnen auch gelingen mag, das Äußere einer offiziellen Mail oder eines Registrierungsformulars zu kopieren – in jedem Fall gezwungen sind, eine Domain zu benutzen, die rein gar nichts mit der Organisation zu tun hat, in deren Namen sie die Benachrichtigung versenden. Wird man aufgefordert, seine Registrierungsdaten auf der Webseite der Bank oder eines anderen OnlineServices einzutragen, sollte man die entsprechende Webseite nicht über einen in der Mitteilung enthaltenen Link aufrufen, sondern die korrekte Adresse in der Adresszeile des Browsers eingeben. Und natürlich würde kein seriöser Online-Dienst jemals seine Nutzer auffordern, ihre Registrierungsdaten per E-Mail zu versenden. Wir nehmen an, dass uns in nächster Zukunft ein weiterer Anstieg von zielgerichteten Phishing-Attacken erwartet und in diesem Zusammenhang rufen wir die Anwender erneut dazu auf, unbedingt vorsichtig zu sein. Das Jahr des schädlichen Spams Ungeachtet des allgemeinen Rückgangs der Spam-Menge kann man mit Sicherheit behaupten, dass Spam insgesamt gefährlicher geworden ist. Im Jahr 2011 stieg der Anteil von Mails mit schädlichen Anhängen im Vergleich zum Vorjahr um das 1,7fache und betrug 3,8 Prozent des gesamten E-Mail-Traffics. Neben Spam mit schädlichen Anhängen wurde auch Spam verschickt, der Links auf schädliche Ressourcen enthält. Die Zahl der Mails mit schädlichen Anhängen hielt sich im Laufe des gesamten Jahres stabil auf hohem Niveau. Anteil der Mails mit schädlichen Anhängen im E-Mail-Traffic im Jahr 2011 Auf der unten stehenden Grafik wird deutlich, dass sich in den letzten drei Jahren eine deutliche Tendenz abzeichnet: Mit dem Rückgang des Spam-Anteils steigt gleichzeitig der Anteil von Mails mit schädlichen Anhängen. Anteil von Mails mit schädlichen Anhängen im E-Mail-Traffic in den Jahren 2009-2011 Schädlicher Spam und Social Engineering Für schädlichen Spam ist der Einsatz von Social Engineering charakteristisch, denn die Cyberkriminellen müssen den Anwender davon überzeugen, den Anhang zu öffnen oder auf einen in der Mitteilung enthaltenen Link zu klicken. In diesem Jahr mangelte es den Cyberkriminellen nicht an Phantasie und um ihre Ziele zu erreichen, setzten sie eine Menge verschiedener Tricks ein. 20 1. Tarnung als seriöse Quelle 3. Verlockende Angebote Schädliche Mails waren zum Beispiel als offizielle Benachrichtigungen von sozialen Netzwerken, internationalen Logistikunternehmen oder staatlichen Steuer- und Kreditorganisationen getarnt. In den Mails werden dem Anwender Geschenke, kostenlose Coupons, Aktivierungsschlüssel für verschiedene Produkte und andere Vorteile versprochen. Um diese Vergünstigungen zu erhalten, muss man nur die angehängte Datei öffnen oder auf den in der Mitteilung enthaltenen Link klicken. 4. Andere Methoden 2. Angst verbreiten Manche Spam-Mails informieren Anwender über gesperrte Accounts, infizierte Computer oder den Spam-Versand von ihrem Account. Um Unannehmlichkeiten zu vermeiden, ruft man die Anwender auf, eine der beiden folgenden Aktionen durchzuführen – einen Anhang zu öffnen oder auf einen Link zu klicken. Am häufigsten machten sich Cyberkriminelle die Neugier der Anwender zu Nutze oder verließen sich auf deren Sorglosigkeit. Die entsprechenden Anhänge waren getarnt als gescanntes Dokument, elektronische Tickets, als Anleitung zur Wiederherstellung des E-Mail-Passworts und vieles mehr. Manchmal wurde der Nutzer schlicht gebeten, den Anhang zu öffnen. 21 Die Geschichte einer Versendung: Wie funktioniert das? Im vierten Quartal 2011 verschickten die Spammer zahlreiche Mails, die als Benachrichtigungen des amerikanischen Zahlungsdienstleisters NACHA (National Automated Clearing House Association) getarnt waren, einer großen, nicht kommerziellen Abrechnungsorganisation, die Regeln zur Durchführung von Transaktionen und praktische Fragen zur Geschäftsabwicklung für das Automated Clearing House (ACH) entwickelt. Dabei geht es auch um Fragen, die den elektronischen Zahlungsverkehr betreffen. ACH wiederum verwaltet das weltweit größte Netz für den elektronischen Zahlungsverkehr. Auf einer Webseite haben sie gleich vier Redirects auf ein und dieselbe schädliche Seite untergebracht. Diese Vorsorgemaßnahme war deshalb nötig, da sich diese Redirects auf gehackten legitimen Seiten befinden. Die Inhaber der Seiten könnten das Eindringen bemerken und das Skript entfernen. Zudem setzt der Sicherheitsdienst des Unternehmens solche URLs recht schnell auf die schwarze Liste. In den als Mitteilungen von NACHA getarnten Mails wurde der Anwender aufgefordert, einen Anhang zu öffnen beziehungsweise einem Link zu folgen, da angeblich eine seiner Transaktionen rückgängig gemacht wurde. Alle Redirects verwiesen auf ein und dieselbe schädliche Ressource, auf der Cyberkriminelle mit BlackHole eines der populärsten und effektivsten Exploit-Packs platziert hatten. Methoden und Tricks der Spammer Redirects und andere Weiterleitungen über Weblinks In ihren Versendungen versuchen die Spammer immer, die Kontaktdaten des Auftraggebers zu verbergen, etwa die Telefonnummer oder den Namen der Webseite. Ansonsten könnte jeder Spam-Filter so einen Kontakt in eine schwarze Liste übernehmen und alle von ihm stammenden Versendungen blockieren. Methoden zum Verbergen von Kontakten gibt es in Hülle und Fülle: Zum Beispiel das Verrauschen (hinzufügen überflüssiger Symbole, Verzerrungen), schreiben von Ziffern in Worten, hinzufügen verschiedener, für den Anwender unsichtbarer HTML-Tags, platzieren von Kontaktdaten auf einem verrauschten Bild und vieles, vieles mehr. Die Wahl dieser Organisation ist nachvollziehbar – die Verbrecher versuchen, so viele Nutzer wie möglich zu erreichen, indem sie die Mails nicht im Namen einer konkreten Вank versenden, sondern im Namen einer Kontrollorganisation. Zudem wissen nur wenige Leute, dass die NACHA in Wahrheit gar nicht das Recht hat, die Transaktionen der ACH zu überprüfen, geschweige denn sie zu stornieren. Klickt der Anwender auf einen Link in einer derartigen Mail, so landet er auf einer infizierten Webseite mit Javascript-Code, der den Browser auf eine schädliche Ressource mit Exploits umleitet. Interessanterweise haben die Cyberkriminellen versucht, sich abzusichern: In diesem Jahr wandten die Spammer hauptsächlich die Redirect-Methode an, um einen Link zu verbergen, der auf eine Seite mit Werbung oder Schadprogrammen führt: In den Mails verweisen Links auf unterschiedlichste Webseiten, von denen der Anwender auf die Hauptseite umgeleitet wird. Linkverkürzungs-Dienste Die einfachste Redirect-Methode ist für Spammer die Verwendung von Linkverkürzungs-Diensten wie tinyurl.com oder bit.ly. Ihre eigentliche Aufgabe besteht darin, lange und komplizierte Links zu verkürzen, doch Spammer nutzen solche Dienste, um jede Mail ihrer Versendung mit einem einzigartigen Link auszustatten. Dabei können hinter solchen kurzen Links sowohl Links auf Webseiten als auch auf herunterzuladende Bilder verborgen sein. 22 Hier eine Mail, wie sie dem Anwender erscheint: Und hier der Quellcode des HTML-Teils der Mail: QUELLCODE Unsinniger HTML-Tag, der willkürliche Wörter enthält, die zum Verrauschen der Mail verwendet werden. <html> <head> <meta http-equiv=3D“Content-Type“ content=3D“text/html; charset=3Dkoi8-r“> <style> Link, der auf eine Spammer-Seite umleitet. watchmakings waterway lambskins lapjes larders hade haemocyanin hagriding handkerchieves haphtarot hassled tablespoon Link, der auf ein herunterzuladendes Bild </style> umleitet. </head> <body> <center><a href=3D“http://bit.ly/*****“><img border=3D“0“ src=3D“http://bit.ly/*****“> </a><br> Link, der auf eine Spammer<br> Seite umleitet. <a href=3D“http://bit.ly/*****“><img border=3D“0“ src=3D“http://bit.ly/*****“> </a><br> <br> <img border=3D“0“ src=3D“http://bit.ly/*****“> </center> Link, der auf ein herunter<br> zuladendes Bild umleitet. <style> crossway wampus warsaws washwipe Link, der auf ein herunterzuladendes Bild umleitet. wasteries labouring lancing lankest larchen hadrome hairst hammam </style> Unsinniger HTML-Tag, der willkürliche </body> Wörter enthält, die zum Verrauschen der </html> Mail verwendet werden. 23 So besteht eine Mail, die dem Nutzer als Bild mit Links auf eine Webseite erscheint, in Wahrheit aus sich nicht wiederholenden Links und willkürlichem Text. Infizierte Webseiten Eine andere Redirect-Methode ist die Verwendung von gehackten legalen Webseiten, auf denen Cyberkriminelle unter anderem iframes oder Javascript-Code platzieren, um den Anwender auf die gewünschte Webseite umzuleiten. Der Abschnitt „Geschichte einer Versendung“ beschreibt ein Beispiel für einen solchen Redirect. SQL-Injection Hierbei handelt es sich um eine für Spam-Mails neue und bisher nicht sehr weit verbreitete Redirect-Methode. Eine Spam-Mail, in der diese Methode verwendet wurde, enthielt einen Link, über den der Anwender auf eine legitime Webseite gelangte, die anfällig für SQL-Injection ist. So eine Gratis-Seite bietet den Phishern noch weitere Vorteile: Sie befindet sich auf einer bekannten Ressource und wird über eine verschlüsselte HTTPS-Verbindung aufgerunfen, wodurch selbst aufmerksame Anwender in die Irre geführt werden können. Zum Ende des Jahres tauchten derartige Versendungen allerdings gar nicht mehr auf. Offensichtlich hat Google seine Sicherheitspolitik verschärft und verfolgt die Platzierung unerwünschter Seiten auf seinen Ressourcen nun genauer. Wie man den Anwender dazu bringt, auf einen Link zu klicken oder einen Anhang zu öffnen Alle Redirect-Methoden funktionieren nur dann, wenn der Anwender auf einen Link klickt. Um das zu erreichen, setzten die Spammer sowohl altbekannte als auch neue Methoden ein. Erstens versuchten sie, ihre Mails wie offizielle Benachrichtigungen aussehen zu lassen, indem sie Mitteilungen von sozialen Netzwerken und populären Diensten kopierten. Die Web-2.0-Ressourcen sind so populär, dass die meisten Leute mittlerweile daran gewöhnt sind, derartige Benachrichtigungen in ihrem elektronischen Briefkasten vorzufinden. In der Regel kommen sie nicht auf den Gedanken, dass solche Mails gefälscht sein könnten. Der Link enthielt eine SQL-Anfrage, auf die als Antwort Javascript-Code ausgegeben wurde: <script> document.location=‘hxxp://drug*****.net‘; </script> Dieses Skript leitete den Anwender auf eine SpammerSeite um. Die Cloud Die Verwendung von kostenlosen Ressourcen für die Platzierung von Links auf Spammer-Webseiten ist kein neuer Ansatz. In diesem Jahr wurden dafür allerdings erstmals die immer beliebter werdenden Cloud-OfficeAnwendungen eingesetzt. Die Spammer verbreiteten in ihren Mails Links auf die Google-Dienste Google Docs und Google Spreadsheets, wo sie Links auf die entsprechenden Seiten platzierten. Außerdem wurden auf Google Spreadsheets auch ganze Phishing-Seiten untergebracht, auf denen der Nutzer aufgefordert wurde, seine E-Mail-Kontodaten samt Passwort einzugeben. Zweitens versuchten Cyberkriminelle auf alle möglichen Arten, die Aufmerksamkeit der Anwender auf die entsprechenden Links zu lenken. Dazu setzen die Spammer schon seit Jahren Themen ein, über die im Fernsehen und in der Presse berichtet wird, Ereignisse also, die die Leute interessieren. 24 Im März waren das beispielsweise gleich zwei Themen: das Erdbeben in Japan und der Krieg in Libyen. Die auffälligste Versendung nutzte beide Themen gleichzeitig aus. Auch die Nachricht vom Tod einer bekannten Persönlichkeit wird traditionell von Spammern ausgenutzt. So wurde den Anwendern im Mai ein Video mit schockierenden Details zum Tod von Osama bin Laden angeboten. Im Juni tauchten im Zusammenhang mit dem ersten Todestag von Michael Jackson Versendungen mit „unumstößlichen Beweisen“ dafür auf, dass der Musiker noch am Leben ist. Im Oktober, nach dem Tod von Steve Jobs, wurden schädliche Versendungen mit angeblichen Informationen darüber verbreitet, wie die Firma Apple das Ende seines Gründers verkraftet. Betrug mit Spam Neben der schon lange praktizierten Ausnutzung aktueller Themen in schädlichen Versendungen probierten die Cybergangster im Jahr 2011 auch andere Ansätze aus. Die Versendungen, die im Anhang angeblich erotische Fotos schöner Frauen enthielten, gerieten 2011 in den Hintergrund. Offensichtlich haben sich die Nutzer schon zu sehr an diese abgedroschene Methode gewöhnt und in den meisten Fällen erkennen die Empfänger derartige Nachrichten als schädlich. An deren Stelle tauchten im SpamStrom Mails auf, die nach Inhalt und/oder Form offizieller interner Korrespondenz großer Organisationen sehr ähnlich sind. Normalerweise ist an solche Mails ein Archiv mit dem aussagekräftigen Namen „Interne Dokumente“ angehängt. Die Namen Muammar al Gaddafi und Kim Jong Il kamen im nigerianischen Spam zum Einsatz. Betrüger, die versuchten, den Nutzern das Geld aus der Tasche zu ziehen, gaben sich als Verwandte, Freunde oder Feinde der Verstorbenen aus. Viele Aufsehen erregende Ereignisse dieses Jahres wurden nicht nur dafür ausgenutzt, um das Interesse der User zu wecken und sie dazu zu bringen, auf einen bestimmten Link zu klicken, sondern sie wurden auch zu Betrugszwekken eingesetzt. Das Erdbeben in Japan nutzten Online-Betrüger, um den Anwendern Geld aus der Tasche zu ziehen, das angeblich den Opfern zugutekommen sollte. 25 26 Spam-Statistik Spam-Anteil im E-Mail-Traffic Wie bereits oben erwähnt ging die Spam-Menge im E-Mail-Traffic im Vergleich zum Jahr 2010 deutlich zurück: Während im Vorjahr noch 82,2 Prozent auf unerwünschte Nachrichten entfielen, so betrug der Spam-Anteil am gesamten E-Mail-Aufkommen im Jahr 2011 durchschnittlich nur noch 80,26 Prozent. Verteilung der Spam-Quellen nach Regionen im Jahr 2011 Die Dynamik der Spam-Versendungen für die Regionen Asien und Lateinamerika verläuft auffällig ähnlich: Spam-Anteil im E-Mail-Traffic im Jahr 2011 Im ersten Halbjahr stieg der Spam-Anteil stabil an. In der zweiten Jahreshälfte änderte sich die Situation jedoch. Infolgedessen erreichte der Wert im Jahr 2011 nicht einmal das Niveau von 2010, vom Rekordjahr 2009 ganz zu schweigen. Spam-Herkunftsregionen Im Jahr 2011 stieg die aus Asien und Lateinamerika stammende Spam-Menge merklich an. Auf diese zwei Regionen entfiel mit 59,02 Prozent mehr als die Hälfte aller ausgehenden Spam-Mails. Die Werte für Nordamerika blieben nach einem dramatischen Rückgang Ende des Jahres 2010 weiter auf niedrigem Niveau. Dynamik des Spam-Versands aus den Regionen Asien und Lateinamerika im Jahr 2011 Diese Tatsache bestätigt indirekt, dass die infizierten Computer in Asien und Lateinamerika zu ein und demselben Botnetz gehören. Die Zunahme des Anteils dieser Regionen am weltweiten Spam-Traffic zeugt davon, dass die Botnetze in diesen Regionen im Laufe des Jahres größer geworden sind. Die Gründe für diese Entwicklung haben wir bereits beschrieben: Eine gute Internetverbindung, geringe Computerkenntnisse der Anwender und das Fehlen von Anti-Spam-Gesetzen in den meisten Ländern Asiens und Lateinamerikas machen diese Regionen für die Organisatoren von Botnetzen höchst attraktiv. Auch der Anteil Afrikas hat ein wenig zugenommen: Diese Region, die bisher beim Spam-Versand noch keine tragende Rolle gespielt hat, nimmt langsam Fahrt auf – insgesamt aus denselben Gründen, die auch für Asien und Lateinamerika gelten. Verteilung der Spam-Quellen nach Regionen im Jahr 2010 Der Anteil von Westeuropa sank um 4 Prozentpunkte. Interessant ist, dass aus dieser großen und computermäßig hochentwickelten Region mit jedem Jahr weniger Spam verschickt wird. Dank der guten Computerkenntnisse der Anwender und des Kampfes gegen die Piraterie sind auf den Rechnern dieser Region größtenteils regelmäßig aktualisierte Software sowie lizenzierte Antiviren-Lösungen installiert. Für Cyberkriminelle ist es daher nicht einfach, solche Computer mit Schadprogrammen zu infizieren und sie an ein Spam-Botnetz anzuschließen. 27 Spam-Herkunftsländer Die gestiegenen Anteile der beim Spam-Versand führenden Regionen haben selbstverständlich auch Auswirkungen auf die Zusammensetzung der Top 20 der SpamHerkunftsländer. Der Spitzenreiter des Vorjahres, die USA (minus 9,24 Prozentpunkte), war noch nicht einmal unter den ersten zehn des Ratings und belegte nur Platz 16. Auch Russland verlor 2,8 Prozentpunkte und ist damit in der Hitliste von Platz 3 auf Position 9 abgesackt. Zum Führungstrio gehört neben Indien (plus 4 Prozentpunkte) und Brasilien (plus 3,4 Prozentpunkte) auch Indonesien (plus 5,15 Prozentpunkte), ein Land, das vorher nur Platz 16 im Ranking der Spam-Herkunftsländer belegte. Versendungsdynamik von Spam aus Italien und Großbritannien im Jahr 2011 Größen der Spam-Mitteilungen Im Laufe des Jahres zeichnete sich ein Trend zum Rückgang der Größen von Spam-Mails ab. Im ersten Quartal nahm die Zahl der Mails mit einer Größe von mehr als 100 KB zu, doch bereits im zweiten Quartal ging der Anteil dieser Mails stark zurück. Zum Ende des Jahres entfielen auf unerwünschte Nachrichten mit einer Größe von über 50 KB weniger als 3 Prozent, während Mitteilungen mit maximal 5 KB Größe 69,46 Prozent des gesamten SpamAufkommens ausmachten. Verteilung der Größen von Spam-Mails im Jahr 2011 Spam-Themen Verteilung der Spam-Quellen nach Ländern im Jahr 2011 In den Top 10 sind nach wie vor zwei westeuropäische Länder vertreten, und zwar Italien und Großbritannien, die hier die Spitzenplätze belegen. Die Versendungsdynamik von Spam aus beiden Ländern ähnelt sich. Vermutlich gehören die Anwender-Computer dieser Länder zu denselben Botnetzen. Im Jahr 2011 wurde das Rating der Spam-Themen im russischen Internetsegment mit großem Abstand von der Kategorie „Bildung“ angeführt, das heißt Angebote für Seminare und Trainings. Im Laufe des Jahres schwankte der Anteil dieser Rubrik stark und lag in verschiedenen Monaten zwischen 13 Prozent und 60 Prozent des gesamten Spam-Aufkommens im Runet. Die Top 5: 1. Bildung: 35,75 Prozent 2. Andere Waren und Dienstleistungen: 15,53 Prozent 3. Immobilien: 9,92 Prozent 4. Medikamente, Waren/Dienstleistungen für die Gesundheit: 9,58 Prozent 5. Werbung für Spammer-Dienstleistungen: 7,50 Prozent 28 Anteil von Partner- und Bestell-Spam im Jahr 2011 Spam-Verteilung nach thematischen Kategorien im Jahr 2011 Alle thematischen Spam-Kategorien lassen sich mit Ausnahme der Spammer-Eigenwerbung in zwei große Gruppen unterteilen: „Auftrags-Spam“ und „Partner-Spam“. Zum Auftrags-Spam gehören hauptsächlich Werbebotschaften, für deren Verbreitung – also die Versendung der Spam-Mails – ein Auftraggeber zahlt. Die Verbreitung von „Partner-Spam“ wird über Partnerprogramme in Auftrag gegeben. Bei derartigem Spam handelt es sich in erster Linie um Werbung für nicht-lizenzierte Waren. Zudem wird dieses Schema für die Verbreitung von schädlichem Spam eingesetzt. Der Spammer erhält Geld für die Menge der erworbenen Waren beziehungsweise für die Menge der infizierten Computer der Anwender. Im Jahr 2011 stieg die Menge von „Bestell-Spam“ im russischen Internetsegment stark an. Der Anteil dieser Spam-Art sank im Laufe des Jahres nicht unter 50 Prozent. Die niedrigsten Werte wurden im Januar und August registriert, denn in diesen Monaten herrscht traditionell Werbe-Flaute. Während so einer Flaute wächst nicht nur die Menge an „Partner-Spam“, sondern auch der Anteil an Spammer-Eigenwerbung, da die Spammer versuchen, die Kunden zurückzugewinnen, die ihre Aufträge im Sommer eingestellt haben. Wir erinnern daran, dass die Situation im letzten Jahr eine andere war – der Anteil von Partner- und Bestell-Spam war ungefähr gleich (46,6 % respektive 47,7 %). Nach der Schließung vieler Botnetze Ende 2010 teilten die Betreiber von Zombie-Netzen ihre Ressourcen aber höchstwahrscheinlich sparsamer ein und versuchten zudem, keine Aufmerksamkeit auf sich zu lenken. Nun sind sie bestrebt, ihre Versendungen nicht auszubauen, sondern einzuschränken. Daher sind die Versendungen zielgerichteter und insbesondere der „Partner-Spam“ wird nicht mehr in Regionen versendet, in denen kein Bedarf besteht. So waren Medikamente, die wichtigste „Partner-Thematik“, in Russland nie populär, da im Gegensatz zu den USA in Russland die meisten Arzneien nicht rezeptpflichtig sind. Zudem bezahlen in Russland noch nicht so viele Leute ihre Online-Einkäufe mit Kreditkarte, und eben diese Bezahlart ist beim Partner-Spam vorgesehen. Auf der anderen Seite gibt es in Russland keine Anti-Spam-Gesetzgebung, einzig im Gesetz „Über die Werbung“ wird Spam in gewissem Maße gestreift. Daher setzt eine ausreichende Menge von Kleinunternehmen auf diese Art von Werbung, weswegen der der Anteil von Bestell-Spam in Russland größer ist als in den USA und in den europäischen Ländern. Spam und Politik Die Wahlen zur Staatsduma in Russland gingen auch an den Spammern nicht unbemerkt vorbei. Bei den letzten Wahlen vor 4 Jahren wurde ebenfalls politischer Spam versendet. Im Jahr 2011 hat sich der Inhalt von derartigem Spam allerdings deutlich geändert. Während die Auftraggeber der Versendungen die Anwender vier Jahre zuvor aufgerufen hatten, für diese oder jene Partei zu stimmen, so versuchte im Jahr 2011 keine einzige Partei, sich mit Hilfe von unerwünschten Mitteilungen selbst anzupreisen. Die Versendungen richteten sich vielmehr gegen die Regierungspartei, wobei der Inhalt vom Boykottaufruf der Wahlen bis zum Sturz der Regierungspartei variierte. Politischer Spam wurde auch nach den Wahlen verbreitet. Auch die Kundgebung auf dem Bolotnaja-Platz ließen die Spammer nicht außer Acht. Allerdings wurde dieses Ereignis von deutlich berechnenderen Leuten ausgenutzt. 29 Phishing Der durchschnittliche Anteil von Phishing-Mails verringerte sich im Jahr 2011 um das 15fache und betrug 0,02 Prozent des gesamten E-Mail-Traffics. Ein beliebtes Ziel von Phishing-Angriffen sind nach wie vor die Spieler von Online-Games. So stieg der Anteil der Angriffe auf World-of-Warcraft-Nutzer im Vergleich zum Vorjahr um etwa 0,5 Prozentpunkte und betrug damit insgesamt 2,2 Prozent. Fast ebenso viele Attacken wurden im Jahr 2011 auf das Online-Spiel RuneScape (2 %) durchgeführt. Der Fokus der Phisher liegt also wie gehabt auf virtuellem Geld und virtuellem Eigentum – Accounts von sozialen Netzwerken sowie Spielcharaktere und Geld aus OnlineGames. Schädliche Anhänge und Links Prozentualer Anteil von Phishing-Mails im E-Mail-Traffic im Jahr 2011 Im Jahr 2011 entfielen etwas weniger als 10 Prozent aller Alarme der Kaspersky-Lösungen auf Programme, die bei Phishing-Attacken verwendet werden – auf TrojanSpy.HTML.gen und Trojan.HTML.Fraud.fc. Diese beiden Programme kommen als HTML-Seiten daher, die Registrierungsformulare von Online-Diensten kopieren. Die in diese Formulare eingegebenen Daten werden an die Cyberkriminellen weitergeleitet. Der Anteil der Mitteilungen, deren Anhang solche Schadprogramme enthält, beträgt ungefähr 0,35 Prozent des gesamten elektronischen Postverkehrs. Der Anteil von schädlichen Anhängen im E-Mail-Traffic betrug im Jahr 2011 durchschnittlich 3,8 Prozent. Das ist 1,7mal höher als der Vorjahreswert. Der relativ hohe Anteil von schädlichen Anhängen im Jahr 2010 lässt sich auf den sommerlichen Boom schädlicher Versendungen zurückführen. Im Jahr 2011 stellte sich die Situation anders dar – der Anteil der schädlichen Anhänge im E-MailTraffic sank im Laufe des gesamten Jahres nicht unter 2,5 Prozent. Top 3 der von Phishern angegriffenen Organisationen im Jahr 2011 1. PayPal 43,14 Prozent 2. eBay 9,90 Prozent 3. Facebook 7,04 Prozent Im Vergleich zum Vorjahr hat sich das Spitzentrio der am häufigsten von Phishern angegriffenen Organisationen nicht geändert. Die Anteile des Internet-Auktionshauses eBay (9,9 %) und des sozialen Netzwerks Facebook (7 %), die Platz zwei respektive drei belegen, haben sich im Vergleich zum Jahr 2010 um nicht mehr als 0,1 Prozentpunkte geändert. Der Anteil des einsamen Spitzenreiters unseres Ratings, des Bezahlsystems PayPal (43,1 %), verringerte sich um 10,2 Prozentpunkte. Neben Facebook zogen im Laufe des Jahres auch die sozialen Netzwerke Habbo und Orkut die Aufmerksamkeit der Phisher auf sich, wobei sich deren Anteil im Jahr 2011 6,9 Prozent beziehungsweise 2,6 Prozent belief. Anteil von Mails mit schädlichen Anhängen im E-Mail-Traffic im Jahr 2011 Wir stellen zudem fest, dass die Spitzenmonate im zweiten Jahr in Folge auf den Juli, August und September entfallen. In diesen Monaten setzten die Spammer auch die unterschiedlichsten Methoden zur Verbreitung von Schadcode ein. 30 Verteilung der Viren-Alarme nach Ländern Im Jahr 2011 stellte sich die Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern folgendermaßen dar: man bedenkt, dass die Ressourcen der Online-Verbrecher begrenzt sind, so ist die Lage klar: Ein und dieselben Botnetze sorgen einerseits für den Ausbau der Zombie-Netze in Indien und andererseits für Geldeinnahmen durch den Diebstahl von Daten amerikanischer Anwender. Via E-Mail verbreitete Schadprogramme Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern Die meisten Alarme unseres Mail-Anti-Virus entfielen auf Russland (12,3 %) – ein Land, das im letzten Jahr noch nicht einmal in den Top 10 vertreten war. Der Anteil der Alarme auf dem Gebiet der USA stieg im Vergleich zu 2010 um 1,5 Prozentpunkte und betrug 10,9 Prozent. Dieses Land belegt nun den zweiten Platz im Rating. Großbritannien belegt unverändert Rang drei, wobei sich der Anteil der Alarme nur um 0,9 Prozentpunkte verringerte. Die deutlichsten Veränderungen im Rating wurden in Vietnam mit einem Zuwachs von 2,7 Prozentpunkten und in Deutschland mit einem Rückgang von 2,6 Prozentpunkten registriert. Interessanterweise war die Versendungsdynamik von Schadcode im Laufe des gesamten Jahres auf den Territorien der USA und Indiens gegenläufig: War mehr schädlicher Spam in den USA in Umlauf, nahm der Anteil solcher Versendungen in Indien deutlich ab und umgekehrt. Top 10 der Schadprogramme im E-Mail-Traffic 2011 Das zweite Jahr in Folge führt Trojan-Spy.HTML.Fraud. gen das Rating der im E-Mail-Traffic aufgespürten Schadprogramme an. Der Anteil dieses Schädlings ging im Vergleich zum Vorjahr um 3,5 Prozentpunkte zurück. Bei diesem Schadprogramm handelt es sich eigentlich um einen Phishing-Schädling, der als HTML-Seite umgesetzt ist, die ein Formular für das Online-Banking oder für andere Internet-Dienste kopiert. Die in ein solches Formular eingegebenen Registrierungsdaten werden an die Cyberkriminellen weitergeleitet. Auf den Rängen zwei und vier positionierten sich EmailWorm.Win32.Mydoom.m und Email-Worm.Win32. NetSky.q – E-Mail-Würmer, die nur zwei Funktionen ausführen: Das Sammeln von E-Mail-Adressen auf den infizierten Rechnern und den Versand ihrer selbst an diese Adressen. Diese Schadprogramme waren bereits im Jahr 2010 im Rating vertreten. Dabei ist der Anteil der Mitteilungen mit Email-Worm.Win32.Mydoom.m im Vergleich zum Jahr 2010 um das Doppelte gestiegen. Der Anteil des Schadprogramms Email-Worm.Win32.NetSky.q nahm im Vergleich zum Vorjahr nur unbedeutend zu. Position drei belegt der Wurm Worm.Win32.Mabezat.b, der sich ebenfalls selbst an die auf dem Computer gefundenen E-Mail-Adressen versendet. Zudem erstellt er eine Kopie von sich auf den lokalen Festplatten und den verfügbaren Ressourcen des infizierten Computers. Dynamik der Alarme von Kaspersky Mail-Anti-Virus in den USA und in Indien im Jahr 2011 Die wahrscheinlichste Erklärung für dieses Verhältnis liegt in den völlig unterschiedlichen Schadprogrammen, die in diese Länder verschickt werden. Nach Indien senden die Cyberkriminellen bevorzugt Programme zum Aufbau von Botnetzen, während in den USA der Diebstahl persönlicher und finanzieller Daten im Mittelpunkt steht. Wenn Ein weiterer E-Mail-Wurm, der schon zum Inventar unseres Ratings gehört – Email-Worm.Win32.Bagle.gt – belegt Position vier. Zusätzlich zu der üblichen Funktionalität von E-Mail-Würmern verbindet sich dieser Schädling mit Internet-Ressourcen, um von dort weitere Schadprogramme herunterzuladen. Das Schadprogramm Trojan.HTML.Fraud.fc erschien erstmals im April 2011 in unserem Rating und belegte im zweiten Quartal die dritte Position. Im Jahresranking belegt dieser Trojaner, der als HTML-Seite umgesetzt ist und 31 es auf Finanzdaten brasilianischer Bankkunden abgesehen hat, den sechsten Platz. Zwei weitere Vertreter ein und derselben Familie – EmailWorm.Win32.Mydoom.l und Email-Worm.Win32.NetSky. ghc – positionierten sich auf den Plätzen sieben respektive neun. Ihre Funktionalität unterscheidet sich nicht von den oben beschriebenen Würmern. Noch im zweiten Quartal 2011 auf Position vier des Ratings, belegt der Packer Packed.Win32.Katusha.n nach den Gesamtjahresergebnissen nur den achten Platz. Dieses Programm wird eingesetzt, um die Entdeckung von Schadprogrammen durch Antiviren-Software zu verhindern. Sieben der zehn Schädlinge aus unserer Hitliste sind E-Mail-Würmer. Einige von ihnen waren praktisch das gesamte Jahr 2011 hindurch im Rating vertreten. FAZIT Der Druck der internationalen IT-Gemeinschaft und der Strafverfolgungsbehörden verschiedener Länder auf das Spam-Business trägt Früchte. Die Spam-Menge in den E-Mail-Eingangsordnern der Anwender ist zurückgegangen. Allerdings ist die unerwünschte Korrespondenz insgesamt gefährlicher geworden – der Anteil an schädlichen Mitteilungen hat zugenommen. Gestiegen ist auch die Zahl der zielgerichteten Phishing-Versendungen. Wir erwarten, dass Phisher insgesamt häufiger konkrete Anwendergruppen angreifen werden und es werden immer mehr Mails in Umlauf kommen, die als Benachrichtigungen populärer Ressourcen getarnt sind. In beiden Fällen, sowohl bei den personalisierten Phishing-Attacken als auch bei den „Benachrichtigungen“ im Namen populärer Ressourcen, ist es schwer, die Fälschungen von den Originalen zu unterscheiden. Als Folge werden die Computer der Anwender einem hohen Infektionsrisiko und ihre vertraulichen Daten also einem höheren Diebstahlrisiko ausgesetzt sein. Im Bestreben, Ressourcen zu sparen und die Anti-Spam-Filter zu umgehen, segmentieren die Botnetz-Betreiber ihre Zielgruppen, indem sie den Umfang der Versendungen reduzieren und sie effektiver gestalten. Dieser Trend wird sich fortsetzen. In einigen Regionen, zum Beispiel in Westeuropa, hat der Kampf gegen Spam zu einem Rückgang der aus ihnen stammenden unerwünschten Versendungen geführt. Die Spitzenpositionen in punkto Spam-Versand halten jetzt Asien und Lateinamerika. Diese Situation wird sich so lange nicht ändern, bis in den Ländern dieser Regionen die nötige Anti-Spam-Gesetzgebung eingeführt wird. Möglicherweise wird der Anteil der afrikanischen Region am weltweiten Spam-Traffic zunehmen. Auf diesem Kontinent wächst die Zahl der Computer mit jedem Jahr und die Internetqualität verbessert sich, was man allerdings nicht über die Computerbildung der Anwender behaupten kann. Der Kampf gegen Spam und Phishing sollte sich an diesen Trends und neuen Strategien der Phisher und BotnetzBetreiber orientieren. Natürlich sollten auch die Anwender den veränderten Bedingungen Rechnung tragen und sich noch aufmerksamer und kritischer verhalten. w w w . k a s p e r s k y . d e Kaspersky Labs GmbH Telefon: +49 (0)841 98 189 0 Despag-Straße 3 Telefax: +49 (0)841 98 189 100 85055 Ingolstadt Kontakt: www.kaspersky.de/kontakt
